思科 ASA 系列系统日志消息

ID 介于 400000 到 409128 之间的消息

本章包含 ID 介于 400000 到 409128 之间的消息。

4000nn

错误消息 %ASA-4-4000nn: IPS:number string from IP_address to IP_address on interface interface_name

说明：消息 400000 至 400051 是思科入侵防御服务签名消息。

建议的操作：参阅 Cisco.com 上的《思科入侵防御服务用户指南》。

在此版本中，并非所有签名消息都受 ASA 支持。IPS 消息均以 4-4000nn 开头，并采用以下格式：


number	签名编号。有关更多信息，请参阅 Cisco.com 上的《思科入侵防御服务用户指南》。
string	签名消息 - 与 NetRanger 签名消息基本相同。
IP_address	签名适用的本地到远程地址。
interface_name	发起签名的接口的名称

例如：


%ASA-4-400013 IPS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%ASA-4-400032 IPS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside

下表列出了支持的签名消息。

表 1. IPS 系统日志消息
消息编号	签名 ID	签名标题	签名类型
400000	1000	IP 选项 - 错误选项列表	信息
400001	1001	IP 选项 - 记录数据包路由	信息
400002	1002	IP 选项 - 时间戳	信息
400003	1003	IP 选项 - 安全	信息
400004	1004	IP 选项 - 松散源路由	信息
400005	1005	IP 选项 - SATNET ID	信息
400006	1006	IP 选项 - 严格源路由	信息
400007	1100	IP 分段攻击	攻击
400008	1102	不可能的 IP 数据包	攻击
400009	1103	IP 分段重叠	攻击
400010	2000	ICMP 回应应答	信息
400011	2001	ICMP 主机不可达	信息
400012	2002	ICMP 源抑制	信息
400013	2003	ICMP 重定向	信息
400014	2004	ICMP 回应请求	信息
400015	2005	数据报的 ICMP 超时	信息
400016	2006	数据报上的 ICMP 参数问题	信息
400017	2007	ICMP 时间戳请求	信息
400018	2008	ICMP 时间戳应答	信息
400019	2009	ICMP 信息请求	信息
400020	2010	ICMP 信息应答	信息
400021	2011	ICMP 地址掩码请求	信息
400022	2012	ICMP 地址掩码应答	信息
400023	2150	分段的 ICMP 流量	攻击
400024	2151	大 ICMP 流量	攻击
400025	2154	死亡之 Ping 攻击	攻击
400026	3040	TCP NULL 标志	攻击
400027	3041	TCP SYN+FIN 标志	攻击
400028	3042	仅 TCP FIN 标志	攻击
400029	3153	指定了不正确的 FTP 地址	攻击
400030	3154	指定了不正确的 FTP 端口	攻击
400031	4050	UDP 炸弹攻击	攻击
400032	4051	UDP Snork 攻击	攻击
400033	4052	UDP Chargen DoS 攻击	攻击
400034	6050	DNS HINFO 请求	信息
400035	6051	DNS 区域传输	信息
400036	6052	来自高端口的 DNS 区域传输	信息
400037	6053	所有记录的 DNS 请求	信息
400038	6100	RPC 端口注册	信息
400039	6101	RPC 端口取消注册	信息
400040	6102	RPC 转储	信息
400041	6103	通过代理发送的 RPC 请求	攻击
400042	6150	ypserv（YP 服务器后台守护程序）端口映射请求	信息
400043	6151	ypserv（YP 绑定后台守护程序）端口映射请求	信息
400044	6152	yppasswdd（YP 密码后台守护程序）端口映射请求	信息
400045	6153	ypupdated（YP 更新后台守护程序）端口映射请求	信息
400046	6154	ypxfrd（YP 传输后台守护程序）端口映射请求	信息
400047	6155	mountd（装载后台守护程序）端口映射请求	信息
400048	6175	rexd（远程执行后台守护程序）端口映射请求	信息
400049	6180	rexd（远程执行后台守护程序）尝试	信息
400050	6190	statd 缓冲区溢出	攻击

401001

错误消息 %ASA-4-401001: Shuns cleared

说明：已输入 clear shun 命令以删除内存中的现有规避规则。记录规避活动的机制获得了允许。

建议的操作：无需执行任何操作。

401002

错误消息 %ASA-4-401002: Shun added: IP_address IP_address port port

说明：已输入 shun 命令，其中第一个 IP 地址是被规避的主机。其他地址和端口可选，用于终止连接（若可用）。记录规避活动的机制获得了允许。

建议的操作：无需执行任何操作。

401003

错误消息 %ASA-4-401003: Shun deleted: IP_address

说明：单台被规避的主机已从规避规则数据库中删除。记录规避活动的机制获得了允许。

建议的操作：无需执行任何操作。

401004

错误消息 %ASA-4-401004: Shunned packet: IP_address = IP_address on interface interface_name

说明：由于 IP SRC 定义的主机是规避规则数据库中的主机，因此数据包已丢弃。被规避的主机无法在规避它的接口上传输流量。例如，互联网上的外部主机可能会被外部接口规避。系统提供被规避的主机的活动记录。此消息和消息 %ASA-4-401005 可用于进一步评估有关此主机的风险。

建议的操作： 无需执行任何操作。

401005

错误消息 %ASA-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

说明：ASA内存不足；无法应用规避规则。

建议的操作：思科 IPS 应继续尝试应用此规则。请尝试回收内存并重新手动应用规避规则，或等待思科 IPS 执行此操作。

402114

错误消息 %ASA-4-402114: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP to local_IP with an invalid SPI.

>protocol - IPsec 协议
> spi - IPsec 安全参数索引
seq_num> - IPsec 序列号
remote_IP> - 隧道远程终端的 IP 地址
>username - 与 IPsec 隧道关联的用户名
local_IP> - 隧道本地终端的 IP 地址

说明：收到了指定 SA 数据库中不存在的 SPI 的 IPsec 数据包。这可能是 IPsec 对等体之间 SA 老化存在细微差异引起的临时情况，也可能是因为本地 SA 已清除所引起的。这也可能表示 IPsec 对等体发送的数据包不正确，这可能属于攻击操作。此消息的出现频率限制为每五秒内最多一次。

建议的操作：对等体可能不会确认本地 SA 已清除。如果从本地路由器建立新连接，则这两个对等体随后可能成功地重新建立连接。否则，如果问题持续超过一小段时间，则请尝试建立新连接或联系对等体管理员。

402115

错误消息 %ASA-4-402115: IPSEC: Received a packet from remote_IP to local_IP containing act_prot data instead of exp_prot data.

说明：收到了缺少预期 ESP 报头的 IPsec 数据包。对等体正在发送与协商的安全策略不匹配的数据包，这可能表示受到了攻击。此消息的出现频率限制为每五秒内最多一次。

remote_IP> - 隧道远程终端的 IP 地址
local_IP> - 隧道本地终端的 IP 地址
>act_prot - 收到的 IPsec 协议
>exp_prot - 预期 IPsec 协议

建议的操作：联系对等体管理员。

402116

错误消息 %ASA-4-402116: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP . The decapsulated inner packet doesn’t match the negotiated policy in the SA. The packet specifies its destination as pkt_daddr , its source as pkt_saddr , and its protocol as pkt_prot . The SA specifies its local proxy as id_daddr /id_dmask /id_dprot /id_dport and its remote proxy as id_saddr /id_smask /id_sprot /id_sport .

说明：解封的 IPsec 数据包与协商的身份不匹配。对等体正在通过此安全关联发送其他流量，这可能是由对等体的安全关联选择错误引起的，也可能是攻击活动。此消息的出现频率限制为每五秒内最多一次。

>protocol - IPsec 协议
> spi - IPsec 安全参数索引
seq_num> - IPsec 序列号
remote_IP> - 隧道远程终端的 IP 地址
>username - 与 IPsec 隧道关联的用户名
local_IP> - 隧道本地终端的 IP 地址
pkt_daddr> - 解封的数据包的目的地址
pkt_saddr> - 解封的数据包的源地址
pkt_prot> - 解封的数据包的传输协议
id_daddr> - 本地代理 IP 地址
id_dmask> - 本地代理 IP 子网掩码
id_dprot> - 本地代理传输协议
id_dport> - 本地代理端口
id_saddr> - 远程代理 IP 地址
id_smask> - 远程代理 IP 子网掩码
id_sprot> - 远程代理传输协议
id_sport> - 远程代理端口

建议的操作：联系对等体管理员，并比较策略设置。

402117

错误消息 %ASA-4-402117: IPSEC: Received a non-IPsec (protocol ) packet from remote_IP to local_IP .

说明：收到的数据包与加密映射 ACL 相匹配，但未使用 IPsec 进行封装。IPsec 对等体正在发送未封装的数据包。此错误可能是由于对等体上发生策略设置错误引起的。例如，防火墙可能会配置为仅接受传输到外部接口端口 23 的加密 Telnet 流量。如果您尝试使用未经 IPsec 加密的 Telnet 访问端口 23 上的外部接口，则会出现此消息，但对外部接口端口 23 以外的端口使用 Telnet 进行访问或发送流量则不会出现此消息。此错误也可能指示受到了攻击。除非是上述情况，否则不会生成此消息（例如，针对传输到 ASA接口的流量，就不会生成此消息)。请参阅跟踪 TCP 和 UDP 请求的消息 710001、710002 和 710003。此消息的出现频率限制为每五秒内最多一次。

>protocol - IPsec 协议
remote_IP> - 隧道远程终端的 IP 地址
local_IP> - 隧道本地终端的 IP 地址

建议的操作：联系对等体管理员，比较各种策略设置。

402118

错误消息 %ASA-4-402118: IPSEC: Received an protocol packet (SPI=spi , sequence number seq_num ) from remote_IP (username ) to local_IP containing an illegal IP fragment of length frag_len with offset frag_offset .

说明：解封的 IPsec 数据包包括偏移量小于或等于 128 字节的 IP 分段。最新版本的 IP RFC 安全架构建议采用最小 128 个字节的 IP 分段偏移量以防受到重组攻击。这可能属于攻击操作。此消息的出现频率限制为每五秒内最多一次。

>protocol - IPsec 协议
> spi - IPsec 安全参数索引
seq_num> - IPsec 序列号
remote_IP> - 隧道远程终端的 IP 地址
>username - 与 IPsec 隧道关联的用户名
local_IP> - 隧道本地终端的 IP 地址
frag_len> - IP 分段长度
frag_offset> - IP 分段偏移量字节数

建议的操作：联系远程对等体管理员，比较各种策略设置。

402119

错误消息 %ASA-4-402119: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed anti-replay checking.

说明：收到了带有无效序列号的 IPsec 数据包。对等体正在发送包括先前可能已使用的序列号的数据包。此消息表明，已收到带超出可接受范围的序列号的 IPsec 数据包。Ipsec 将此数据包视为可能与攻击有关而予以丢弃。此消息的出现频率限制为每五秒内最多一次。

>protocol - IPsec 协议
> spi - IPsec 安全参数索引
seq_num> - IPsec 序列号
remote_IP> - 隧道远程终端的 IP 地址
>username - 与 IPsec 隧道关联的用户名
local_IP> - 隧道本地终端的 IP 地址

建议的操作：联系对等体管理员。

402120

错误消息 %ASA-4-402120: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from remote_IP (username ) to local_IP that failed authentication.

说明：收到了 IPsec 数据包，但此数据包身份验证失败。系统丢弃此数据包。数据包在传输过程中可能已受损，或对等体可能正在发送无效 IPsec 数据包，如果其中许多数据包都来自同一个对等体，则可能表示正在发生攻击。此消息的出现频率限制为每五秒内最多一次。

>protocol - IPsec 协议
> spi - IPsec 安全参数索引
seq_num> - IPsec 序列号
remote_IP> - 隧道远程终端的 IP 地址
>username - 与 IPsec 隧道关联的用户名
local_IP> - 隧道本地终端的 IP 地址

建议的操作：如果收到许多失败的数据包，则联系远程对等体管理员。

402121

错误消息 %ASA-4-402121: IPSEC: Received an protocol packet (SPI=spi , sequence number=seq_num ) from peer_addr (username ) to lcl_addr that was dropped by IPsec (drop_reason ).

说明：收到了待解封的 IPsec 数据包，但随后被 IPsec 子系统丢弃。这可能表示 ASA配置或 ASA本身存在问题。

>protocol - IPsec 协议
> spi - IPsec 安全参数索引
seq_num> - IPsec 序列号
peer_addr> - 隧道远程终端的 IP 地址
>username - 与 IPsec 隧道关联的用户名
lcl_addr> - 隧道本地终端的 IP 地址
drop_reason> - 数据包被丢弃的原因

建议的操作：如果问题仍然存在，请联系思科 TAC。

402122

错误消息 %ASA-4-402122: Received a cleartext packet from src_addr to dest_addr that was to be encapsulated in IPsec that was dropped by IPsec (drop_reason ).

说明：收到了待封装在 IPsec 中的数据包，但随后被 IPsec 子系统丢弃。这可能表示 ASA配置或 ASA本身存在问题。

src_addr> - 源 IP 地址
dest_addr > - 目的 > IP 地址
drop_reason> - 数据包被丢弃的原因

建议的操作：如果问题仍然存在，请联系思科 TAC。

402123

错误消息 %ASA-4-402123: CRYPTO: The accel_type hardware accelerator encountered an error (code=error_string ) while executing crypto command command .

说明：使用硬件加速器运行加密命令时检测到错误，这可能表示加速器存在问题。此错误可能由各种原因引起，此消息是对加密加速器计数器的补充，用于帮助确定原因。

accel_type - 硬件加速器类型
> error_string - 指示错误类型的代码
command - 生成了此错误的加密命令

建议的操作：如果问题仍然存在，请联系思科 TAC。

402124

错误消息 %ASA-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (Hardware error address, Core, Hardware error code, IstatReg, PciErrReg, CoreErrStat, CoreErrAddr, Doorbell Size, DoorBell Outstanding, SWReset).

说明：加密硬件芯片已报告严重错误，指示此芯片不可操作。此消息中的信息包含进一步分析问题所需的详细信息。检测到这种情况时，系统会重置加密芯片，以使 ASA可以继续运行而不造成任何中断。此外，检测到此问题时所处的加密环境写入闪存上的加密存档目录，以提供更多调试信息。此消息包括与加密硬件相关的各种参数，如下所示：

HWErrAddr> - 硬件地址（使用加密芯片设置）
Core> - 遇到错误的加密核心
HwErrCode> - 硬件错误代码（使用加密芯片设置）
IstatReg> - 中断状态寄存器（使用加密芯片设置）
PciErrReg> - PCI 错误寄存器（使用加密芯片设置）
CoreErrStat> - 核心错误状态（使用加密芯片设置）
CoreErrAddr> - 核心错误地址（使用加密芯片设置）
Doorbell Size> - 允许的最大加密命令数量
DoorBell Outstanding> - 加密命令尚未处理
SWReset> - 自启动时执行的加密芯片重置次数

注

%ASA-vpn-4-402124: CRYPTO: The ASA hardware accelerator encountered an error (HWErrAddr= 0x40EE9800, Core= 0, HwErrCode= 23, IstatReg= 0x8, PciErrReg= 0x0, CoreErrStat= 0x41, CoreErrAddr= 0x844E9800, Doorbell Size[0]= 2048, DoorBell Outstanding[0]= 0, Doorbell Size[1]= 0, DoorBell Outstanding[1]= 0, SWReset= 99) 错误消息指示 AnyConnect 存在问题，而且此问题的解决办法是升级到 AnyConnect 3.1.x。

建议的操作：将消息信息转发给思科 TAC，以进行进一步分析。

402125

错误消息 %ASA-4-402125: The ASA hardware accelerator ring timed out (parameters ).

说明：加密驱动程序检测到 IPSEC 描述符环或 SSL/管理员描述符环不再有任何进展，这意味着加密芯片不再运行。检测到这种情况时，系统会重置加密芯片，以使 ASA可以继续运行而不造成任何中断。此外，检测到此问题时所处的加密环境也已写入闪存上的加密存档目录，以提供更多调试信息。

>ring - IPSEC 或管理员环
parameters > - 包括以下参数：

- Desc> - 描述符地址

- CtrlStat> - 控制/状态值

- ResultP> - 成功指针

- ResultVal> - 成功值

- Cmd> - 加密命令

- CmdSize> - 命令大小

- Param> - 命令参数

- Dlen> - 数据长度

- DataP> - 数据指针

- CtxtP> - VPN 情景指针

- SWReset> - 启动后的加密芯片重置次数

建议的操作：将消息信息转发给思科 TAC，以进行进一步分析。

402126

错误消息 %ASA-4-402126: CRYPTO: The ASA created Crypto Archive File Archive Filename as a Soft Reset was necessary. Please forward this archived information to Cisco.

说明：检测到硬件加密芯片存在功能问题（请参阅系统日志消息 402124 和 402125）。为了进一步调试加密问题，系统已生成包含当前加密硬件环境的加密存档文件（硬件寄存器和加密描述项）。启动时，已在闪存文件系统上自动创建 crypto_archive 目录（若以前不存在）。此目录中最多允许存在两个加密存档文件。

>Archive Filename - 加密存档文件的名称。加密存档文件的名称采用 crypto_arch_x.bin 的形式，其中 x =（1 或 2）。

建议的操作：将加密存档文件转发给思科 TAC，以进行进一步分析。

402127

错误消息 %ASA-4-402127: CRYPTO: The ASA is skipping the writing of latest Crypto Archive File as the maximum # of files, max_number, allowed have been written to archive_directory . Please archive & remove files from Archive Directory if you want more Crypto Archive Files saved.

说明：检测到硬件加密芯片存在功能问题（请参阅消息 4402124 和 4402125）。此消息表明尚未写入加密存档文件，这是因为已存在最大数量的加密存档文件。

max_number > - 存档目录中允许存在的文件的最大数量；目前设置为 2
>archive_directory - 存档目录的名称

建议的操作：将先前生成的加密存档文件转发给思科 TAC。删除先前生成的存档文件，以便在必要时写入更多文件。

402128

错误消息 %ASA-5-402128: CRYPTO: An attempt to allocate a large memory block failed, size: size , limit: limit

说明：SSL 连接正在尝试使用超出允许值的内存。请求已被拒绝。

size - 正在分配的内存块的大小
limit - 所分配内存的最大允许大小

建议的操作：如果此消息仍然存在，则可能正在遭受 SSL 拒绝服务攻击。联系远程对等体管理员或上游提供商。

402129

错误消息 %ASA-6-402129: CRYPTO: An attempt to release a DMA memory block failed, location: address

说明：发生了内部软件错误。

address - 正在释放的地址

建议的操作：联系思科 TAC 寻求帮助。

402130

错误消息 %ASA-6-402130: CRYPTO: Received an ESP packet (SPI = 0x54A5C634, sequence number=0x7B) from 75.2.96.101 (user=user) to 85.2.96.10 with incorrect IPsec padding.

说明：ASA加密硬件加速器已检测到带无效填充的 IPsec 数据包。ATT VPN 客户端有时会错误填充 IPsec 数据包。

SPI - 与该数据包关联的 SPI
sequence number - 与该数据包关联的序列号
user - 用户名符串
padding - 从数据包填充数据

建议的操作：虽然对于此消息不需要执行任何操作，而且此消息并不表明 ASA存在问题，但是使用 ATT VPN 客户端的客户可能需要升级其 VPN 客户端软件。

402131

错误消息 %ASA-4-402131: CRYPTO: status changing the accel_instance hardware accelerator's configuration bias from old_config_bias to new_config_bias .

说明：在 ASA 上已更改硬件加速器配置。一些 ASA平台配备多个硬件加速器。对于每次硬件加速器更改，系统都会生成一条系统日志消息。

status - 表示成功或失败
accel_instance - 硬件加速器实例
old_config_bias - 旧配置
new_config_bias - 新配置

建议的操作：如果在尝试更改加速器配置时任何加速器发生故障，则收集日志记录信息并联系思科 TAC。如果失败，则软件将多此重试配置更改操作。如果重试尝试失败，则软件将回退到原始配置偏差。如果多次尝试重新配置硬件加速器失败，则可能表明出现了硬件故障。

402140

错误消息 %ASA-3-402140: CRYPTO: RSA key generation error: modulus len len

说明：RSA 公钥对生成期间出错。

len - 素数模长度（比特）

建议的操作：联系思科 TAC 寻求帮助。

402141

错误消息 %ASA-3-402141: CRYPTO: Key zeroization error: key set type , reason reason

说明：RSA 公钥对生成期间出错。

type - 密钥设置类型，可能是以下任何一种：DH、RSA、DSA 或未知
reason - 意外加密会话类型

建议的操作：联系思科 TAC 寻求帮助。

402142

错误消息 %ASA-3-402142: CRYPTO: Bulk data op error: algorithm alg , mode mode

说明：对称密钥操作期间出错。

op - 加密或解密操作
alg - 加密算法，可能是以下任何一种：DES、3DES、AES 或 RC4
mode - 模式，可能是以下任何一种：CBC、CTR、CFB、ECB、状态 RC4 或无状态 RC4

建议的操作：联系思科 TAC 寻求帮助。

402143

错误消息 %ASA-3-402143: CRYPTO: alg type key op

说明：非对称密钥操作期间出错。

alg - 加密算法，RSA 或 DSA
type - 密钥类型，公钥或私钥
op - 加密或解密操作

建议的操作：联系思科 TAC 寻求帮助。

402144

错误消息 %ASA-3-402144: CRYPTO: Digital signature error: signature algorithm sig , hash algorithm hash

说明：全数字化签名生成期间出错。

sig - 签名算法，RSA 或 DSA
hash - 散列算法，可能是以下任何一项：MD5、SHA1、SHA256、SHA384 或 SHA512

建议的操作：联系思科 TAC 寻求帮助。

402145

错误消息 %ASA-3-402145: CRYPTO: Hash generation error: algorithm hash

说明：发生了散列生成错误。

hash - 散列算法，可能是以下任何一项：MD5、SHA1、SHA256、SHA384 或 SHA512

建议的操作：联系思科 TAC 寻求帮助。

402146

错误消息 %ASA-3-402146: CRYPTO: Keyed hash generation error: algorithm hash , key len len

说明：发生了加密散列生成错误。

hash - 散列算法，可能是以下任何一项：MD5、SHA1、SHA256、SHA384 或 SHA512
len - 密钥长度（比特）

建议的操作：联系思科 TAC 寻求帮助。

402147

错误消息 %ASA-3-402147: CRYPTO: HMAC generation error: algorithm alg

说明：发生了 HMAC 生成错误。

alg - HMAC 算法，可能是以下任何一种：HMAC-MD5 HMAC-SHA1、HMAC-SHA2 或 AES XCBC

建议的操作：联系思科 TAC 寻求帮助。

402148

错误消息 %ASA-3-402148: CRYPTO: Random Number Generator error

说明：发生了随机数字生成器错误。

建议的操作：联系思科 TAC 寻求帮助。

402149

错误消息 %ASA-3-402149: CRYPTO: weak encryption type (length ). Operation disallowed. Not FIPS 140-2 compliant

说明：ASA尝试了使用长度小于 2048 位或 DH 组 1、2 或 5 的 RSA 密钥。

encryption type - 加密类型
length - RSA 密钥长度或 DH 组编号

建议的操作：配置 ASA或外部应用，以使用长度至少为 2048 位的 RSA 密钥或配置 1、2 或 5 以外的 DH 组。

402150

错误消息 %ASA-3-402150: CRYPTO: Deprecated hash algorithm used for RSA operation (hash alg ). Operation disallowed. Not FIPS 140-2 compliant

说明：不可接受的散列算法被用于数字证书签名或 FIPS 140-2 认证验证。

operation - 签名或验证
hash alg - 不可接受的散列算法的名称

建议的操作：确保将最小的可接受散列算法用于数字证书签名或 FIPS 140-2 认证验证，包括 SHA-256、SHA-384 和 SHA-512。

403101

错误消息：%ASA-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id=number , session_id=number

说明：ASA 收到了不含相应控制连接会话的 PPTP XGRE 数据包。

建议的操作：如果问题仍然存在，请联系思科 TAC。

403102

错误消息：%ASA-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol , reason: reason .

说明：模块收到了一个包含无效协议字段的 XGRE 封装 PPP 数据包。

建议的操作：如果问题仍然存在，请联系思科 TAC。

403103

错误消息：%ASA-4-403103: PPP virtual interface max connections reached.

说明：模块无法接受其他 PPTP 连接。一旦有连接可用，系统就会进行分配。

建议的操作：无需执行任何操作。

403104

错误消息：%ASA-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

说明：MPPE 已配置，但 MS CHAP 身份验证未配置。

建议的操作：使用 vpdn group group_name ppp authentication 命令添加 MS-CHAP 身份验证。

403106

错误消息：%ASA-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

说明：MPPE 已配置，但 RADIUS 身份验证未配置。

建议的操作：使用 vpdn group group_name ppp authentication 命令添加 RADIUS 身份验证。

403107

错误消息：%ASA-4-403107: PPP virtual interface interface_name missing aaa server group info

说明：找不到 AAA 服务器配置信息。

建议的操作：使用 vpdn group group_name client authentication aaa aaa_server_group 命令添加 AAA 服务器信息。

403108

错误消息：%ASA-4-403108: PPP virtual interface interface_name missing client ip address option

说明：缺少客户端 IP 地址池信息。

建议的操作：使用 vpdn group group_name client configuration address local address_pool_name 命令添加 IP 地址池信息。

403109

错误消息 %ASA-4-403109: Rec'd packet not an PPTP packet. (ip ) dest_address=dest_address, src_addr= source_address, data: string.

说明：模块收到了一个伪造 PPTP 数据包，这可能表示恶意事件。

建议的操作：联系对等体管理员，检查 PPTP 配置设置。

403110

错误消息：%ASA-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

说明：AAA 服务器未返回设置 MPPE 加密策略所需的 MPPE 密钥属性。

建议的操作：检查 AAA 服务器配置。如果 AAA 服务器无法返回 MPPE 密钥属性，请输入 vpdn group group_name client authentication local 命令，从而改用本地身份验证。

403500

错误消息 %ASA-6-403500: PPPoE - Service name 'any' not received in PADO. Intf:interface_name AC:ac_name .

说明：ASA 已从互联网运营商访问控制器请求 PPPoE 服务 any。运营商响应包括其他服务，但不包括服务 any。这是协议实施方面的差异。PADO 数据包正常处理，并且连接协商继续进行。

建议的操作：无需执行任何操作。

403501

错误消息 %ASA-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf:interface_name AC:ac_name

说明：ASA向访问控制器发送了一个称为主机唯一值的标识符。访问控制器以其他主机唯一值作出响应。ASA无法识别此响应的相应连接请求。数据包已被丢弃，并且连接协商也已中断。

建议的操作：联系互联网运营商。互联网运营商访问控制器正在错误处理主机唯一值，或正在伪造 PADO 数据包。

403502

错误消息 %ASA-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf:interface_name AC:ac_name

建议的操作：联系互联网运营商。互联网运营商访问控制器正在错误处理主机唯一值，或正在伪造 PADO 数据包。

403503

错误消息 %ASA-3-403503: PPPoE:PPP link down:reason

说明：PPP 链路已关闭。发生这种情况的原因有很多。如果 PPP 提供了一个原因，则第一个格式将显示此原因。

建议的操作：检查网络链路，确保链路已连接。访问集中器可能已关闭。请确保身份验证协议与访问集中器相匹配，同时确保用户名和密码正确。向 ISP 或网络支持人员验证此信息。

403504

错误消息 %ASA-3-403504: PPPoE:No 'vpdn group group_name ' for PPPoE is created

说明：PPPoE 在开始 PPPoE 会话之前需要进行拨出配置。一般情况下，配置应指定拨号策略、PPP 身份验证、用户名和密码。以下示例为 PPPoE 拨出配置了 ASA。my-username 和 my-password 命令用于对访问集中器进行身份验证，必要时使用 PAP 执行此操作。

例如：


ciscoasa# vpdn group my-pppoe request dialout pppoe
ciscoasa# vpdn group my-pppoe ppp authentication pap
ciscoasa# vpdn group my-pppoe localname my-username
ciscoasa# vpdn username my-username password my-password
ciscoasa# ip address outside pppoe setroute

建议的操作：为 PPPoE 配置 VPDN 组。

403505

错误消息 %ASA-4-403505: PPPoE:PPP - Unable to set default route to IP_address at interface_name

说明：此消息通常出现在“默认路由已存在”消息之前。

建议的操作：删除当前默认路由或删除 setroute 参数，从而使 PPPoE 与手动配置路由之间不存在任何冲突。

403506

错误消息 %ASA-4-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name

说明：此消息出现在以下任一消息之前：子网与接口相同或在故障切换通道上。

建议的操作：在第一种情况下，更改导致冲突的地址。在第二种情况下，在除故障切换接口以外的接口上配置 PPPoE。

403507

错误消息 %ASA-3-403507: PPPoE:PPPoE client on interface interface failed to locate PPPoE vpdn group group_name

说明：可以输入 pppoe client vpdn group group_name 命令，在接口上将 PPPoE 客户端配置为使用特定 VPDN 组。如果在系统启动期间未找到此配置名称的 PPPoE VPDN 组，则会生成此消息。

interface - PPPoE 客户端发生故障的接口
group_name - 此接口上 PPPoe 客户端的 VPDN 组名称

建议的操作：执行以下步骤：

输入 vpdn group group_name 命令来添加需要的 VPDN 组。在全局配置模式下请求拨出 PPPoE 并添加所有组属性。
从指示接口删除 pppoe client vpdn group group_name 命令。在这种情况下，PPPoE 客户端将尝试使用定义的第一个 PPPoE VPDN 组。

注	输入 ip address pppoe 命令重新启动接口上的 PPPoE 客户端后，所有更改才会生效。

405001

错误消息 %ASA-4-405001: Received ARP {request | response} collision from IP_address /MAC_address on interface interface_name with existing ARP entry IP_address /MAC_address

说明：ASA收到了 ARP 数据包，但数据包中的 MAC 地址与 ARP 缓存条目不同。

建议的操作：此流量可能是合法的，也可能指示系统正在遭受 ARP 毒化攻击。检查源 MAC 地址，确定数据包来源并查看数据包是否属于有效主机。

405002

错误消息 %ASA-4-405002: Received mac mismatch collision from IP_address /MAC_address for authenticated host

说明：发生以下一种情况时，此数据包便会显示：

ASA收到了具有相同 IP 地址的数据包，但其 MAC 地址不同于其 uauth 条目。
您在 ASA上配置了 vpnclient mac-exempt 命令，并且 ASA收到了带有豁免 MAC 地址的数据包，但其 IP 地址不同于相应的 uauth 条目。

建议的操作：此流量可能是合法的，也可能指示系统正在遭受欺骗攻击。检查源 MAC 地址和 IP 地址，确定数据包来源并查看数据包是否属于有效主机。

405003

错误消息 %ASA-4-405003: IP address collision detected between host IP_address at MAC_address and interface interface_name , MAC_address .

说明：网络中的客户端 IP 地址与 ASA接口 IP 地址是相同的。

建议的操作：更改客户端的 IP 地址。

405101

错误消息 %ASA-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]

说明：启动连接时，模块未能分配 RAM 系统内存或没有更多可用的地址转换插槽。

建议的操作：如果定期出现此消息，可以忽略。您可以对比内部网络客户端数量来检查全局池的大小。可能需要 PAT 地址。或者，缩短转换和连接的超时间隔。此错误消息还可能由内存不足引起；尝试降低内存使用量，或购买更多内存。如果问题仍然存在，请联系思科 TAC。

405102

错误消息 %ASA-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address [/outside_port ] to local_address inside_address [/inside_port ]

说明：ASA未能在启动连接时分配 RAM 系统内存或没有更多地址转换插槽可用。

建议的操作：对比内部网络客户端数量来检查全局池的大小。可能需要 PAT 地址。或者，缩短转换和连接的超时间隔。此外，还可以降低内存使用量，或购买更多内存。如果定期出现此消息，可以忽略。如果问题仍然存在，请联系思科 TAC。

405103

错误消息 %ASA-4-405103: H225 message from source_address/source_port to dest_address /dest_port contains bad protocol discriminator hex

说明：ASA期望收到协议鉴别符 0x08，但收到的却不是 0x08。终端可能正在发送不良数据包，或收到了不同于第一个分段的消息分段。允许此数据包通过。

建议的操作：无需执行任何操作。

405104

错误消息 %ASA-4-405104: H225 message received from outside_address /outside_port to inside_address /inside_port before SETUP

说明：在初始设置消息之前收到了顺序混乱的 H.225 消息，这种情况是绝对禁止的。ASA必须在接收任何其他 H.225 消息之前收到 H.225 呼叫信令通道的初始设置消息。

建议的操作：无需执行任何操作。

405105

错误消息 %ASA-4-405105: H323 RAS message AdmissionConfirm received from source_address /source_port to dest_address /dest_port without an AdmissionRequest

说明：网守已发送 ACF，但 ASA 未向网守发送 ARQ。

建议的操作：使用指定的 source_address 检查网守，以确定网守在未从 ASA处收到 ARQ 的情况下发送 ACF 的原因。

405106

错误消息：%ASA-4-405106: H323 num channel is not created from %I/%d to %I/%d %s

说明：ASA 已尝试在 H.323 媒体类型通道上创建匹配条件。有关详细信息，请参阅 match media-type 命令。

建议的操作：无需执行任何操作。

405107

错误消息：%ASA-4-405107: H245 Tunnel is detected and connection dropped from %I/%d to %I/%d %s

说明：由于在呼叫建立期间尝试了 H.245 隧道控制，因此 H.323 连接已断开。有关详细信息，请参阅 h245-tunnel-block 命令。

建议的操作：无需执行任何操作。

405201

错误消息：%ASA-4-405201: ILS ILS_message_type from inside_interface:source_IP_address to outside_interface:/destination_IP_address has wrong embedded address embedded_IP_address

说明：ILS 数据包负载中的嵌入地址不同于 IP 数据包报头的源 IP 地址。

建议的操作：使用 source_IP_address 检查指定的主机，以确定主机发送包含不正确嵌入 IP 地址的 ILS 数据包的原因。

405300

错误消息：%ASA-4-405300: Radius Accounting Request received from from_addr is not allowed

说明：收到了来自未在策略映射中配置的主机发出的记账请求。消息已记录，并且已停止处理。

from_addr - 发送请求的主机的 IP 地址

建议的操作：如果主机已配置为向 ASA 发送 RADIUS 记账消息，请确保它是在应用于服务策略的正确策略映射中配置的。如果主机未配置为向 ASA 发送 RADIUS 记账消息，则检查发送消息的原因。如果消息是非法的，则创建适当的 ACL，以丢弃数据包。

405301

错误消息：%ASA-4-405301: Attribute attribute_number does not match for user user_ip

说明：已输入 validate-attribute 命令时，存储在所接收记账请求启动中的属性值与存储在条目（若存在）中的属性值不匹配。

attribute_number - 使用 RADIUS 记账时要验证的 RADIUS 属性。值范围为 1 到 191。不支持供应商特定属性。
user_ip - 用户的 IP 地址（成帧 IP 属性）。

建议的操作：无需执行任何操作。

406001

错误消息 %ASA-4-406001: FTP port command low port: IP_address /port to IP_address on interface interface_name

说明：客户端输入了 FTP 端口命令，并提供了小于 1024（在通常专用于服务器端口的公认端口范围内）的端口。这表明它尝试避免站点安全策略。ASA丢弃数据包，终止连接，并记录此事件。

建议的操作：无需执行任何操作。

406002

错误消息 %ASA-4-406002: FTP port command different address: IP_address(IP_address ) to IP_address on interface interface_name

说明：客户端输入了 FTP 端口命令，并提供了不同于连接中所使用地址的地址。客户端执行了避免站点安全策略的尝试。例如，攻击者可能会尝试通过更改正在传输的数据包以及正确源信息以外的其他源信息来劫持 FTP 会话。ASA丢弃数据包，终止连接，并记录此事件。括号中的地址是端口命令提供的地址。

建议的操作：无需执行任何操作。

407001

错误消息 %ASA-4-407001: Deny traffic for local-host interface_name :inside_address , license limit of number exceeded

说明：超出了主机限制。满足以下一个条件时，内部主机便会计入限制：

内部主机已在最近五分钟内通过 ASA转发流量。
内部主机已保留 ASA处的转换连接或用户身份验证。

建议的操作：在低端平台上强制实施主机限制。使用 show version 命令查看主机限制。使用 show local-host 命令查看当前活动主机和在 ASA进行会话的内部用户。要强制断开一个或多个用户，请使用 clear local-host 命令。要使内部用户限制更快过期，请将转换、连接和 uauth 超时设置为下表给定的推荐值或更低值：

表 2. 超时值和推荐值
超时值	推荐值
转换	00:05:00（5 分钟）
连接	00:01:00（1 小时）
uauth	00:05:00（5 分钟）

407002

错误消息 %ASA-4-407002: Embryonic limit nconns /elimit for through connections exceeded.outside_address /outside_port to global_address (inside_address )/inside_port on interface interface_name

说明：从指定全局地址的指定外部地址到指定本地地址的连接数量超出了静态条件下的最大初期限制。如果 ASA能够为连接分配内存，则会尝试接受此连接。它代表本地主机执行代理服务，并向外部主机发送 SYN_ACK 数据包。ASA保留相关状态信息，丢弃数据包，并等待客户端确认。此消息可能表示流量合法或系统正在遭受 DoS 攻击。

建议的操作：检查源地址，确定数据包来源，同时确定数据包是否由有效主机发送。

407003

错误消息 %ASA-4-407003: Established limit for RPC services exceeded number

说明：ASA已尝试为一对在达到最大孔数后配置的 RPC 服务器或服务打开一个新孔。

建议的操作：等待其他孔关闭（通过相关超时到期），或限制活动服务器或服务对的数量。

408001

错误消息 %ASA-4-408001: IP route counter negative - reason , IP_address Attempt: number

说明：将 IP 路由计数器数量递减至负值的尝试失败。

建议的操作：输入 clear ip route 命令重置路由计数器。如果问题仍然存在，请联系思科 TAC。

408002

错误消息 %ASA-4-408002: ospf process id route type update address1 netmask1 [distance1/metric1 ] via source IP :interface1 address2 netmask2 [distance2 /metric2 ] interface2

说明：从与现有路由具有相同距离但更高度量的其他接口收到了网络更新。新路由会覆盖通过其他接口安装的现有路由。新路由仅用于冗余目的，表示路径已在网络中转移。必须通过拓扑和重新分发控制此更改。受此更改影响的任何现有连接都可能被禁用，并将超时。只有在已专门设计网络拓扑以支持路径冗余的情况下，才会发生这种路径转移，在这种情况下属于预期行为。

建议的操作：无需执行任何操作。

408003

错误消息 %ASA-4-408003: can't track this type of object hex

说明：跟踪系统组件遇到了组件不支持的对象类型。组件的预期为状态对象。

hex - 描述变量值或内存中地址的十六进制值

建议的操作：重新配置跟踪对象以使其成为状态对象。

408101

错误消息 %ASA-4-408101: KEYMAN : Type encrption_type encryption unknown. Interpreting keystring as literal.

说明：系统无法识别格式类型。密钥字符串格式类型值 0（未加密的密钥字符串）或 7（隐藏的密钥字符串）后跟空格，可放在实际的密钥字符串之前以指示其格式。系统将接受未知类型值，但会将该密钥字符串视为未加密。

建议的操作：对值类型使用正确的格式或删除值类型后面的空格。

408102

错误消息 %ASA-4-408102: KEYMAN : Bad encrypted keystring for key id key_id.

说明：系统无法成功解密已加密的密钥字符串。密钥字符串在系统配置期间可能已损坏。

建议的操作：重新输入 key-string 命令，并重新配置密钥字符串。

409001

错误消息 %ASA-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

说明：软件检测到意外情况。路由器将采取纠正措施并继续运行。

建议的操作：无需执行任何操作。

409002

错误消息 %ASA-4-409002: db_free: external LSA IP_address netmask

说明：发生了内部软件错误。

建议的操作：无需执行任何操作。

409003

错误消息 %ASA-4-409003: Received invalid packet: reason from IP_address , interface_name

说明：收到无效的 OSPF 数据包。错误消息中包含详细信息。原因可能是 OSPF 配置不正确或发件人存在内部错误。

建议的操作：检查收件人 OSPF 配置和发件人配置是否不一致。

409004

错误消息 %ASA-4-409004: Received reason from unknown neighbor IP_address

说明：收到了 OSPF Hello、数据库说明或数据库请求数据包，但路由器无法识别发件人。

建议的操作：无需执行任何操作。

409005

错误消息 %ASA-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

说明：ASA收到了字段长度小于正常报头大小或与所接收 IP 数据包大小不一致的 OSPF 数据包。这表示数据包发件人存在配置错误。

建议的操作：通过相邻地址找到问题路由器并重新启动此路由器。

409006

错误消息 %ASA-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

说明：路由器收到包含无效 LSA 类型的 LSA。原因是内存损坏或路由器上的意外行为。

建议的操作：通过相邻地址找到问题路由器并重新启动此路由器。如果问题仍然存在，请联系思科 TAC。

409007

错误消息 %ASA-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

说明：发生了内部软件错误。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

409008

错误消息 %ASA-4-409008: Found generating default LSA with non-zero mask LSA type: number Mask: netmask metric: number area: string

说明：由于发生内部软件错误，路由器尝试生成带有错误掩码和可能错误度量的默认 LSA。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

409009

错误消息 %ASA-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

说明：OSPF 尝试从一个接口的 IP 地址分配路由器 ID 时失败。

建议的操作：请确保至少启用一个具有有效 IP 地址的接口。如果有多个 OSPF 进程在路由器上运行，则每个进程都需要唯一的路由器 ID。您必须拥有足够数量的接口，以便每个接口均可获得路由器 ID。

409010

错误消息 %ASA-4-409010: Virtual link information found in non-backbone area: string

说明：发生了内部错误。

建议的操作：按照显示正确复制此消息，并将其报告给思科 TAC。

409011

错误消息 %ASA-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

说明：OSPF 从与此路由进程具有相同路由器 ID 的邻居接收了 Hello 数据包。无法建立完全邻接关系。

建议的操作：OSPF 路由器 ID 应该具有唯一性。更改邻居路由器 ID。

409012

错误消息 %ASA-4-409012: Detected router with duplicate router ID IP_address in area string

说明：OSPF 从与此路由进程具有相同路由器 ID 的邻居接收了 Hello 数据包。无法建立完全邻接关系。

建议的操作：OSPF 路由器 ID 应该具有唯一性。更改邻居路由器 ID。

409013

错误消息 %ASA-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

说明：OSPF 从与此路由进程具有相同路由器 ID 的邻居接收了 Hello 数据包。无法建立完全邻接关系。

建议的操作：OSPF 路由器 ID 应该具有唯一性。更改邻居路由器 ID。

409014

错误消息 %ASA-4-409014: No valid authentication send key is available on interface nameif.

说明：接口上配置的身份验证密钥无效。

建议的操作：配置新密钥。

409015

错误消息 %ASA-4-409015: Key ID key-id received on interface nameif.

说明：在配置的密钥链中找不到该 ID。

建议的操作：使用该密钥 ID 配置新的安全关联。

409016

错误消息 %ASA-4-409016: Key chain name key-chain-name on nameif is invalid.

说明：在 OSPF 接口下配置的密钥链名称与全局密钥链配置不匹配。

建议的操作：修复配置。删除 OSPF 身份验证命令或在全局配置模式下配置密钥链。

409017

错误消息 %ASA-4-409017: Key ID key-id in key chain key-chain-name is invalid.

说明：密钥链中配置的密钥 ID 超出 OSPF 的范围。这可能是因为密钥链允许 OSPF 不可接受的范围内的密钥 ID 值。

建议的操作：使用 1-255 范围内的密钥 ID 配置新的安全关联。

409023

错误消息 %ASA-4-409023: Attempting AAA Fallback method method_name for request_type request for user user :Auth-server group server_tag unreachable

说明：尝试对外部服务器进行身份验证或授权失败，系统将使用本地用户数据库执行操作。

aaa_operation - 身份验证或授权
username - 与该连接关联的用户
server_group - 其中的服务器无法到达的 AAA 服务器名称

建议的操作：对采用第一种方法配置的 AAA 服务器调查任何连接问题。对来自 ASA的身份验证服务器执行 Ping 操作。请确保在 AAA 服务器中运行守护程序。

409101

错误消息 %ASA-4-409101: Received invalid packet: s from P , s

说明：收到无效的 OSPF 数据包。错误消息中包含详细信息。原因可能是 OSPF 配置错误或发件人存在内部错误。

建议的操作：检查收件人和发件人的 OSPF 配置中的不一致。

409102

错误消息 %ASA-4-409102: Received packet with incorrect area from P , s , area AREA_ID_STR , packet area AREA_ID_STR

说明：收到 OSPF 数据包，其报头中包含的区域 ID 与此接口区域不匹配。

建议的操作：检查收件人和发件人的 OSPF 配置中的不一致。

409103

错误消息 %ASA-4-409103: Received s from unknown neighbor i

说明：收到 EIGRP Hello、数据库说明或数据库请求数据包，但路由器无法识别发件人。

建议的操作：无需执行任何操作。

409104

错误消息 %ASA-4-409104: Invalid length d in OSPF packet type d from P (ID i ), s

说明：系统收到一个 OSPF 数据包，其长度字段小于正常报头大小，或与其到达的 IP 数据包大小不一致。数据包发件人出现了错误。

建议的操作：无需执行任何操作。

409105

错误消息 %ASA-4-409105: Invalid lsa: s : Type 0x x , Length 0x x , LSID u from i

说明：路由器收到包含无效数据的 LSA。由于内存损坏或路由器上的意外行为，导致该 LSA 包含无效的 LSA 类型、不正确的校验和或不正确的长度。

建议的操作：从相邻地址找到问题路由器，并执行以下操作：

输入 show running-config 命令，收集路由器的运行配置。
输入 show ipv6 ospf database 命令，收集可能有助于识别错误性质的数据。
输入 show ipv6 ospf database link-state-id 命令。link-state-id 参数是无效 LSA 的 IP 地址。
输入 show logging 命令，收集可能有助于识别错误性质的数据。
重新启动路由器。

如果无法根据收集的信息确定错误性质，请联系思科 TAC 并提供所收集的信息。

409106

错误消息 %ASA-4-409106: Found generating default LSA with non-zero mask LSA type: 0x x Mask: i metric: lu area: AREA_ID_STR

说明：由于内部软件错误，路由器尝试生成包含错误掩码和可能错误的度量的默认 LSA。

建议的操作：无需执行任何操作。

409107

错误消息 %ASA-4-409107: OSPFv3 process d could not pick a router-id, please configure manually

说明：OSPFv3 尝试从其中一个接口的 IP 地址分配路由器 ID 时失败。

建议的操作：请确保至少启用一个具有有效 IP 地址的接口。如果有多个 OSPF 进程在路由器上运行，则每个进程都需要唯一的路由器 ID。您必须拥有足够的已启用接口，以便每个接口均可获得路由器 ID。

409108

错误消息 %ASA-4-409108: Virtual link information found in non-backbone area: AREA_ID_STR

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409109

错误消息 %ASA-4-409109: OSPF detected duplicate router-id i from P on interface IF_NAME

说明：OSPF 从与此路由进程具有相同路由器 ID 的邻居接收了 Hello 数据包。无法建立完全邻接关系。OSPF 路由器 ID 应该具有唯一性。

建议的操作：更改邻居路由器 ID。

409110

错误消息 %ASA-4-409110: Detected router with duplicate router ID i in area AREA_ID_STR

说明：OSPF 从与此路由进程具有相同路由器 ID 的邻居接收了 Hello 数据包。无法建立完全邻接关系。OSPF 路由器 ID 应该具有唯一性。

建议的操作：更改邻居路由器 ID。

409111

错误消息 %ASA-4-409111: Multiple interfaces (IF_NAME /IF_NAME ) on a single link detected.

说明：不支持在同一链路上多个接口中启用 OSPFv3。

建议的操作：除一个接口外，应当在其他所有接口上禁用 OSPFv3 或将其设置为被动模式。

409112

错误消息 %ASA-4-409112: Packet not written to the output queue

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409113

错误消息 %ASA-4-409113: Doubly linked list linkage is NULL

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409114

错误消息 %ASA-4-409114: Doubly linked list prev linkage is NULL x

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409115

错误消息 %ASA-4-409115: Unrecognized timer d in OSPF s

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409116

错误消息 %ASA-4-409116: Error for timer d in OSPF process s

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409117

错误消息 %ASA-4-409117: Can't find LSA database type x , area AREA_ID_STR , interface x

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409118

错误消息 %ASA-4-409118: Could not allocate DBD packet

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409119

错误消息 %ASA-4-409119: Invalid build flag x for LSA i , type 0x x

说明：发生了内部错误。

建议的操作：无需执行任何操作。

409120

错误消息 %ASA-4-409120: Router-ID i is in use by ospf process d

说明：ASA尝试分配一个其他进程正在使用的路由器 ID。

建议的操作：为其中一个进程配置其他路由器 ID。

409121

错误消息 %ASA-4-409121: Router is currently an ASBR while having only one area which is a stub area

说明：ASBR 必须连接到可以承载 AS 外部或 NSSA LSA 的区域。

建议的操作：将路由器连接的区域调整为 NSSA 区域或常规区域。

409122

错误消息 %ASA-4-409122: Could not select a global IPv6 address. Virtual links require at least one global IPv6 address.

说明：已配置虚拟链路。要让虚拟链路正常运行，必须具备全局 IPv6 地址。但是，并未在路由器中找到全局 Ipv6 地址。

建议的操作：在此路由器的接口上配置全局 IPv6 地址。

409123

错误消息 %ASA-4-409123: Neighbor command allowed only on NBMA networks

说明：仅允许在 NBMA 网络中使用 neighbor 命令。

建议的操作：检查 neighbor 命令的配置选项，为邻居接口更正选项或网络类型。

409125

错误消息 %ASA-4-409125: Can not use configured neighbor: poll and priority options are allowed only for a NBMA network

说明：在点对多点网络上发现了已配置的邻居，并且配置了轮询或优先级选项。仅允许在 NBMA 类型网络上使用这些选项。

建议的操作：检查 neighbor 命令的配置选项，为邻居接口更正选项或网络类型。

409128

错误消息 %ASA-4-409128: OSPFv3-d Area AREA_ID_STR : Router i originating invalid type 0x x LSA, ID u , Metric d on Link ID d Link Type d

说明：此消息中指示的路由器已发起具有无效度量的 LSA。如果这是一个路由器 LSA 且链路度量为零，则网络中存在路由环路和流量损失的风险。

建议的操作：为发起所报告 LSA 的路由器中的给定 LSA 类型和链路类型配置有效度量。

ID 介于 410001 到 450001 之间的消息

本章包含 ID 介于 410001 到 450001 之间的消息。

410001

错误消息 %ASA-4-410001: UDP DNS request from source_interface :source_address /source_port to dest_interface :dest_address /dest_port ; (label length | domain-name length) 52 bytes exceeds remaining packet length of 44 bytes.

说明：UDP DNS 数据包中的域名长度超过 255 个字节。请参阅 RFC 1035 第 3.1 部分以了解详细信息。

建议的操作：无需执行任何操作。

410002

错误消息 %ASA-2-410002: Dropped num DNS responses with mis-matched id in the past sec second(s): from src_ifc :sip /sport to dest_ifc :dip /dport

说明：ASA 检测到带不匹配 DNS 标识符的 DNS 响应数量过多。DNS 标识符不匹配比率过高，可能表示缓存区存在攻击。使用 id-mismatch DNS 策略映射参数子模式命令设置阈值。

num - 使用 id-mismatch 命令配置的 ID 不匹配实例的数量
sec - 使用 id-mismatch 命令配置的持续时间，以秒为单位
src_ifc - 接收到带不匹配 DNS 标识符的 DNS 消息的源接口名称
sip - 源 IP 地址
sport - 源端口
dest_ifc - 目的接口名称
dip - 目标 IP 地址
dport - 目的端口

建议的操作：检查消息中的 IP 地址和端口，以跟踪攻击来源。您可以配置 ACL 以永久阻止来自源的流量。

410003

错误消息 %ASA-4-410003: action_class : action DNS query_response from src_ifc :sip /sport to dest_ifc :dip /dport ; further_info

说明：已对 DNS 消息执行 DNS 分类，且满足指定的条件。因此，将会出现所配置的操作。

action_class - DNS 分类操作类
action - 所执行的操作：已丢弃、已丢弃（无 TSIG）或已掩蔽报头标志
query_response - 查询或响应
src_ifc - 源接口名称
sip - 源 IP 地址
sport - 源端口
dest_ifc - 目的接口名称
dip - 目标 IP 地址
dport - 目的端口
further_info - 可能是以下任一种信息：匹配的类 ID：class_name、匹配的类 ID：match_command（对于独立的 match 命令），或 TSIG 资源记录不存在（对于 tsig enforced 命令生成的消息）

建议的操作：无需执行任何操作。

410004

错误消息 %ASA-6-410004: action_class : action DNS query_response from src_ifc :sip /sport to dest_ifc :dip /dport ; further_info

说明：已对 DNS 消息执行 DNS 分类，且满足指定的条件。

action_class - DNS 分类操作类
action - 所执行的操作：已接收或已接收（无 TSIG）
query_response - 查询或响应
src_ifc - 源接口名称
sip - 源 IP 地址
sport - 源端口
dest_ifc - 目的接口名称
dip - 目标 IP 地址
dport - 目的端口
further_info - 可能是以下任一种信息：匹配的类 ID：class_name、匹配的类 ID：match_command（对于独立的 match 命令），或 TSIG 资源记录不存在（对于 tsig enforced 命令生成的消息）

建议的操作：无需执行任何操作。

411001

错误消息 %ASA-4-411001: Line protocol on interface interface_name changed state to up

说明：线路协议状态已从关闭改为开启。如果 interface_name 是逻辑接口名称（例如内部接口和外部接口），此消息表示逻辑接口线路协议已从关闭改为开启状态。如果 interface_name 是物理接口名称（例如 Ethernet0 和 GigabitEthernet0/1），此消息表示物理接口线路协议已从关闭改为开启状态。

建议的操作：无需执行任何操作。

411002

错误消息 %ASA-4-411002:Line protocol on interface interface_name changed state to down

说明：线路协议状态已从开启改为关闭。如果 interface_name 是逻辑接口名称（例如内部接口和外部接口），此消息表示逻辑接口线路协议已从开启改为关闭状态。在这种情况下，物理接口线路协议状态不受影响。如果 interface_name 是物理接口名称（例如 Ethernet0 和 GigabitEthernet0/1），此消息表示物理接口线路协议已从开启改为关闭状态。

建议的操作：如果这是接口上的意外事件，请检查物理线路。

411003

错误消息 %ASA-4-411003: Configuration status on interface interface_name changed state to downup

说明：接口的配置状态已从关闭改为开启。

建议的操作：如果这是意外事件，请检查物理线路。

411004

错误消息 %ASA-4-411004: Configuration status on interface interface_name changed state to up

说明：接口的配置状态已从关闭改为开启。

建议的操作：无需执行任何操作。

411005

错误消息 %ASA-4-411005: Interface variable 1 experienced a hardware transmit hang. The interface has been reset.

说明：接口遇到硬件传输冻结，需要重置以太网控制器，使接口完全恢复运行。

variable 1 - 接口名称，例如 GigabitEthernet0/0

建议的操作：无需执行任何操作。

412001

错误消息 %ASA-4-412001:MAC MAC_address moved from interface_1 to interface_2

说明：系统检测到主机在模块接口间移动。在透明 ASA中，主机 (MAC) 与 ASA端口之间的映射将在第 2 层转发表中维护。该表会将数据包源 MAC 地址与 ASA端口动态绑定。在此过程中，只要检测到主机在不同接口间移动，就会生成此消息。

建议的操作：主机移动可能有效，也可能是尝试伪造其他接口上的主机 MAC。如果这是一次 MAC 欺骗尝试，您可以找出网络中易受攻击的主机，然后将其删除或配置静态 MAC 条目，静态条目不允许更改 MAC 地址和端口绑定。如果的确是主机移动，则无需任何操作。

412002

错误消息 %ASA-4-412002:Detected bridge table full while inserting MAC MAC_address on interface interface . Number of entries = num

说明：桥接表已满，但系统尝试再添加一个条目。ASA可为每个情景维护单独的第 2 层转发表，但是每当情景超过其大小限制时都会生成此消息。系统将添加 MAC 地址，但它将取代表中最早的现有动态条目（如可用）。这可能是尝试攻击。

建议的操作：确保新的桥接表条目有效。如果出现攻击，请使用 EtherType ACL 控制对易受攻击主机的访问。

413001

错误消息 %ASA-4-413001: Module module_id is not able to shut down. Module Error: errnum message

说明：由 module_id 标识的模块无法按照 ASA系统模块的请求关闭。此模块可能正在执行不能中断的任务，例如软件升级。errnum 和 message 文本说明了此模块无法关闭的原因，以及推荐的纠正操作。

建议的操作：等待模块上的任务完成后再关闭此模板，或使用 session 命令访问模块上的 CLI 并停止阻止此模块关闭的任务。

413002

错误消息 %ASA-4-413002: Module module_id is not able to reload. Module Error: errnum message

说明：由 module_id 标识的模块无法按照 ASA模块的请求重新加载。此模块可能正在执行不能中断的任务，例如软件升级。errnum 和 message 文本说明了此模块无法重新加载的原因，以及推荐的纠正操作。

建议的操作：等待此模块上的任务完成后再重新加载模板，或使用 session 命令访问此模块上的 CLI 并停止阻止此模块重新加载的任务。

413003

错误消息 %ASA-4-413003: Module string one is not a recognized type

说明：系统检测到模块未被识别为有效的模块类型。

建议的操作：将 ASA软件升级到支持已安装模块类型的版本。

413004

错误消息 %ASA-4-413004: Module string one failed to write software newver (currently ver ), reason . Trying again.

说明：此模块无法接受软件版本，并将转换到无响应状态。系统还会尝试更新模块软件。

>string one - 指定模块的文本字符串
>newver - 未成功写入模块的软件的新版本号（例如，1.0(1)0）
>ver - 模块上软件的当前版本号（例如，1.0(1)0）
>reason - 新版本无法写入此模块的原因。>reason 的可能值包括：

- 写入失败

- 映像写入线程创建失败

建议的操作：无需执行任何操作。后续尝试操作将生成一条消息，指示更新成功或失败。使用 show module 命令尝试进行后续更新后，可以验证模块是否转换为 UP 状态。

413005

错误消息 %ASA-4-413005: Module module_id , application is not supported app_name version app_vers type app_type

错误消息 %ASA-4-413005: Module prod_id in slot slot_num , application is not supported app_name version app_vers type app_type

说明：插槽 slot_num 中安装的模块正在运行不受支持的应用版本或类型。

module_id - 软件服务模块的名称
prod_id - 产品 ID 字符串
slot_num - 安装此模块的插槽号。插槽 0 表示系统主板，插槽 1 表示扩展槽中安装的模块。
app_name - 应用名称（字符串）
app_vers - 应用版本（字符串）
app_type - 应用类型（十进制）

建议的操作：如果问题仍然存在，请联系思科 TAC。

413006

错误消息 %ASA-4-413006: prod-id Module software version mismatch; slot slot is prod-id version running-vers . Slot slot prod-id requires required-vers .

说明：插槽 slot 中的模块上运行的软件版本不是其他模块所需的版本。

slot - 插槽 0 表示系统主板。插槽 1 表示在扩展插槽中安装的模块。
prod_id - 插槽 slot 中安装的设备的产品 ID 字符串
running_vers - 插槽 slot 中安装的模块上当前运行的软件版本
required_vers - 插槽 slot 中模块所需的软件版本

建议的操作：如果问题仍然存在，请联系思科 TAC。

413007

错误消息 %ASA-1-413007: An unsupported ASA and IPS configuration is installed. mpc_description with ips_description is not supported.

说明：在插槽 1 的 IPS SSP 设置期间检测到不受支持的 ASA和 IPS 配置。ASA应会继续在配置不受支持的情况下正常运行。

mpc_description - ASA 型号的描述字符串，可能是以下任何一项：ASA5585-SSP-10、ASA5585-SSP-20、ASA5585-SSP-40、ASA5585-SSP-60、ASA5585-SSP-10-K7、ASA5585-SSP-20-K7、ASA5585-SSP-40-K7、ASA5585-SSP-60-K7。
ips_description - IPS SSP 型号的描述字符串，可能是以下任何一项：ASA5585-SSP-IPS10、ASA5585-SSP-IPS20、ASA5585-SSP-IPS40、ASA5585-SSP-IPS60、ASA5585-SSP-P10K7、ASA5585-SSP-P20K7、ASA5585-SSP-P40K7、ASA5585-SSP-P60K7。

建议的操作：无需执行任何操作。

413008

错误消息 %ASA-1-413008: An unsupported combination of the power supply module and the fan module is detected. Two power supply modules are recommended when using ASA 10G and IPS 10G SSPs simultaneously

说明：存在 ASA 10G SSP 和 IPS 10G SSP 时，只插入了一个电源和一个风扇模块。

建议的操作：使用 ASA 10G SSP 和 IPS 10G SSP 时，插入两个电源，而不是一个风扇模块和一个电源模块。

414001

错误消息 %ASA-3-414001: Failed to save logging buffer using file name filename to FTP server ftp_server_address on interface interface_name : [fail_reason ]

说明：日志记录模块无法将日志缓冲区保存到外部 FTP 服务器中。

建议的操作：根据失败原因执行适当操作：

协议错误 - 请确保 FTP 服务器和 ASA之间不存在连接问题，且 FTP 服务器可以接受 FTP 端口命令和 PUT 请求。
用户名或密码无效 - 确保配置的 FTP 客户端用户名和密码正确无误。
所有其他错误 - 如果问题仍然存在，请联系思科 TAC。

414002

错误消息 %ASA-3-414002: Failed to save logging buffer to flash:/syslog directory using file name: filename : [fail_reason ]

说明：日志记录模块无法将日志缓冲区保存到系统闪存中。

建议的操作：如果操作失败的原因是由于空间不足，则检查闪存的可用空间，并确保 logging flash-size 命令的配置限制设置正确。如果是闪存文件系统 I/O 错误，请联系思科 TAC 获取帮助。

414003

错误消息 %ASA-3-414003: TCP Syslog Server intf : IP_Address /port not responding. New connections are [permitted|denied] based on logging permit-hostdown policy.

说明：用于远程主机日志记录的 TCP 系统日志服务器成功连接到服务器，并且系统将根据日志记录 permit-hostdown 策略允许或拒绝新连接。如果已配置日志记录 permit-hostdown 策略，则允许新连接。如果未配置，新连接将被拒绝。

intf - 服务器连接的 ASA的接口
IP_Address - 远程 TCP 系统日志服务器的 IP 地址
port - 远程 TCP 系统日志服务器的端口

建议的操作：验证已配置 TCP 系统日志服务器是否启动。要允许新连接，请配置日志记录 permit-hostdown 策略。要拒绝新连接，请勿配置日志记录 permit-hostdown 策略。

414004

错误消息：%ASA-6-414004: TCP Syslog Server intf : IP_Address /port - Connection restored

说明：TCP 系统日志服务器重试已成功，并且已建立连接。此消息是成功连接后系统日志服务器收到的第一条消息。

intf - 服务器连接的 ASA 的接口
IP_Address - 远程 TCP 系统日志服务器的 IP 地址
port - 远程 TCP 系统日志服务器的端口

建议的操作：无需执行任何操作。

414005

错误消息 %ASA-3-414005: TCP Syslog Server intf : IP_Address /port connected, New connections are permitted based on logging permit-hostdown policy

说明：用于远程主机日志记录的 TCP 系统日志服务器成功连接到服务器，并且系统将根据日志记录 permit-hostdown 策略允许新连接。如果已配置日志记录 permit-hostdown 策略，则允许新连接。

intf - 服务器连接的 ASA的接口
IP_Address - 远程 TCP 系统日志服务器的 IP 地址
port - 远程 TCP 系统日志服务器的端口

建议的操作：无需执行任何操作。

414006

错误消息 %ASA-3-414006: TCP Syslog Server configured and logging queue is full. New connections denied based on logging permit-hostdown policy.

说明：日志记录队列接近配置限制，系统日志消息存在被丢弃的风险。

建议的操作：请参阅《CLI 配置指南》中的“配置日志记录队列”部分，了解有关如何调整队列大小以避免上述情况的信息。在这种情况下，如果您想拒绝新连接，请使用 no logging permit-hostdown 命令。在这种情况下，如果您想允许新连接，请使用 logging permit-hostdown 命令。

414007

错误消息 %ASA-6-414007: TCP Syslog Server connection restored. New connections are allowed.

说明：用于远程主机日志记录的 TCP 系统日志服务器已成功连接，并且允许新连接。

建议的操作：无需执行任何操作。

414008

错误消息：%ASA-6-414008: New connections are now allowed due to change of logging permit-hostdown policy.

说明：通过在新连接被拒绝时输入 logging permit-hostdown 命令，管理员更改了日志记录 permit-hostdown 策略。由于对策略执行了这种更改，因此将允许进行新连接。

建议的操作：无需执行任何操作。

415001

错误消息：%ASA-6-415001: HTTP - matched matched_string in policy-map map_name , header field count exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：发生以下任意情形时，系统会生成此消息：

HTTP 报头中的字段总数超出用户配置的报头字段数量。相关命令是：match {request | response} header count num。
HTTP 报头中指定字段的显示超出用户为此报头字段配置的数量。相关命令是：match {request | response} header header-name count num。
matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header 命令重新配置 HTTP 报头字段值。

415002

错误消息 %ASA-6-415002: HTTP - matched matched_string in policy-map map_name , header field length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：指定的 HTTP 报头字段长度超出了用户配置的长度。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header header_name length gt num 命令更改 HTTP 报头字段长度。

415003

错误消息：%ASA-6-415003: HTTP - matched matched_string in policy-map map_name , body length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：消息正文长度超出了用户配置的长度。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} body length gt num 命令以更改消息正文长度。

415004

错误消息 %ASA-5-415004: HTTP - matched matched_string in policy-map map_name , content-type verification failed connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：HTTP 消息正文中的幻数不是 HTTP 消息报头中内容类型字段指定的 MIME 类型的正确幻数。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header content-type violation 命令来纠正该错误。

415005

错误消息 %ASA-5-415005: HTTP - matched matched_string in policy-map map_name , URI length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：URI 长度超出了用户配置的长度。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match request uri length gt num 命令更改 URL 长度。

415006

错误消息：%ASA-5-415006: HTTP - matched matched_string in policy-map map_name , URI matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：URI 与用户配置的正则表达式匹配。有关详细信息，请参阅 match request uri regex {regex-name | class class-name} 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415007

错误消息：%ASA-5-415007: HTTP - matched matched_string in policy-map map_name , Body matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：消息正文与用户配置的正则表达式匹配。有关详细信息，请参阅 match {request | response} body regex {regex-name | class class-name} 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415008

错误消息：%ASA-5-415008: HTTP - matched matched_string in policy-map map_name , header matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：消息报头中用户指定的字段值与用户配置的正则表达式匹配。有关详细信息，请参阅 match {request | response } header header-field-name {regex-name | class class-name} 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415009

错误消息 %ASA-5-415009: HTTP - matched matched_string in policy-map map_name , method matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：HTTP 方法与用户配置的正则表达式匹配。有关详细信息，请参阅 match request method {regex-name | class class-name} 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415010

错误消息：%ASA-5-415010: matched matched_string in policy-map map_name , transfer encoding matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：传输编码字段值与用户配置的正则表达式或关键字匹配。有关详细信息，请参阅 match {request | response} header transfer-encoding {{regex-name | class class-name} | keyword} 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415011

错误消息 %ASA-5-415011: HTTP - policy-map map_name :Protocol violation connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：HTTP 解析器无法在 HTTP 消息的前几个字节中检测到有效的 HTTP 消息。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 protocol-violation action {drop | reset} log 命令来纠正该问题。

415012

错误消息：%ASA-5-415012: HTTP - matched matched_string in policy-map map_name , Unknown mime-type connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：内容类型字段不包含与内置 MIME 类型匹配的 MIME 类型。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header content-type unknown 命令来纠正该问题。

415013

错误消息：%ASA-5-415013: HTTP - policy-map map-name :Malformed chunked encoding connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：分块编码的格式不正确，并且 HTTP 消息无法解析。此外，已为 protocol-violation 命令配置日志记录。

map-name - 策略映射名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 protocol-violation action {drop | reset} log 命令来纠正该问题。

415014

错误消息 %ASA-5-415014: HTTP - matched matched_string in policy-map map_name , Mime-type in response wasn't found in the accept-types of the request connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：HTTP 响应中的 MIME 类型不在请求的接受字段中。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match req-resp content-type mismatch 命令来纠正该问题。

415015

错误消息：%ASA-5-415015: HTTP - matched matched_string in policy-map map_name , transfer-encoding unknown connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：发生了空传输编码问题。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header transfer-encoding empty 命令来纠正该问题。

415016

错误消息：%ASA-4-415016: policy-map map_name :Maximum number of unanswered HTTP requests exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：未应答 HTTP 请求的数量超出了允许的内部请求数。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 protocol-violation action {drop | reset} log 命令来纠正该问题。

415017

错误消息 %ASA-6-415017: HTTP - matched_string in policy-map map_name , arguments matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：参数中的模式与用户配置的正则表达式或关键字匹配。有关详细信息，请参阅 match request args regex {regex-name | class class-name} 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415018

错误消息：%ASA-5-415018: HTTP - matched matched_string in policy-map map_name , Header length exceeded connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：报头总长度超出了用户配置的报头长度。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header length gt num 命令缩短报头长度。

415019

错误消息 %ASA-5-415019: HTTP - matched matched_string in policy-map map_name , status line matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：响应中的状态行与用户配置的正则表达式匹配。有关详细信息，请参阅 match response status-line regex {regex-name | class class-name } 命令。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：无需执行任何操作。

415020

错误消息 %ASA-5-415020: HTTP - matched matched_string in policy-map map_name , a non-ASCII character was matched connection_action from int_type :IP_address /port_num to int_type :IP_address /port_num

说明：找到非 ASCII 字符。

matched_string - 匹配字符串属于以下内容之一：

- 类映射 ID，后跟类映射名称。用户配置了类映射时，系统将显示该字符串。

- 发起该消息的实际 match 命令。类映射在内部时，系统将显示该字符串。

map_name - 策略映射的名称
connection_action - 丢弃连接或重置连接
interface_type - 接口类型（例如，DMZ 或外部）
IP_address - 接口的 IP 地址
port_num - 端口号

建议的操作：输入 match {request | response} header non-ascii 命令来纠正该问题。

416001

错误消息：%ASA-4-416001: Dropped UDP SNMP packet from source_interface :source_IP /source_port to dest_interface :dest_address /dest_port ; version (prot_version ) is not allowed through the firewall

说明：由于数据包格式错误或未允许 prot_version 通过 ASA，SNMP 数据包已被拒绝通过 ASA。Prot_version 可能是以下任意数值：1、2、2c 或 3。

建议的操作：使用 snmp-map 命令来更改 SNMP 检测设置，用户可以允许或拒绝特定协议版本。

417001

错误消息 %ASA-4-417001: Unexpected event received: number

说明：进程收到信号，但未发现事件的处理程序。

建议的操作：如果问题仍然存在，请联系思科 TAC。

417004

错误消息 %ASA-4-417004: Filter violation error: conn number (string :string ) in string

说明：客户端尝试修改非该客户端所有的路由属性。

建议的操作：如果问题仍然存在，请联系思科 TAC。

417006

错误消息 %ASA-4-417006: No memory for string ) in string . Handling: string

说明：内存不足导致操作失败，但系统会使用其他机制进行处理。

建议的操作：如果问题仍然存在，请联系思科 TAC。

418001

错误消息 %ASA-4-418001: Through-the-device packet to/from management-only network is denied: protocol_string from interface_name IP_address (port) [([idfw_user |FQDN_string ], sg_info )] to interface_name IP_address (port) [(idfw_user |FQDN_string ), sg_info ]

说明：从指定源向目的地发送的数据包已丢弃，因为它往来经过 ASA和管理专用网络。

Protocol_string - TCP、UDP、ICMP 或协议 ID（十进制数字）
interface_name - 接口名称
IP_address - IP 地址
port - 端口号
sg_info - 安全组名称或特定 IP 地址标记

建议的操作：确定正在生成该数据包的对象及其原因。

418018

错误消息：%ASA-3-418018: neighbor IP_Address Down User reset OR %ASA-3-418018: neighbor IP_Address IPv4 Unicast topology base removed from session User reset OR %ASA-3-418018: neighbor IP_Address Up OR %ASA-3-418018: neighbor IP_Address IPv4 Unicast topology base removed from session BGP Notification sent

说明：由于对等互连状态转换，出现了不同状态的 BGP 对等互连和拓扑结构 DB 更改通知。

建议的操作：无需执行任何操作。

418019

错误消息 %ASA-3-418019: sent to neighbor IP_Address, Reason: reason, Bytes: count

说明：指示 BGP 对等互连的终止原因。

Reason - 终止原因。原因可能是 AS 路径无效或损坏、保持时间到期等。
Bytes - 传输的字节数

建议的操作：无需执行任何操作。

418040

错误消息：%ASA-3-418040: unsupported or mal-formatted message received from IP_Address

说明：表示在 BGP 握手期间收到的消息不受支持或格式不正确，不一定仅与正常重启有关。

建议的操作：无需执行任何操作。

419001

错误消息 %ASA-4-419001: Dropping TCP packet from src_ifc :src_IP /src_port to dest_ifc :dest_IP /dest_port , reason : MSS exceeded, MSS size , data size

说明：TCP 数据包的长度超过三次握手中通告的 MSS。

>src_ifc - 输入接口名称
>src_IP - 数据包的源 IP 地址
>src_port - 数据包的源端口
>dest_ifc - 输出接口名称
>src_IP - 数据包的目的 IP 地址
> dest_port - 数据包的目的端口

建议的操作：如果需要允许超出 MSS 的数据包，请使用 exceed-mss 命令创建 TCP 映射，如以下示例所示：


ciscoasa# access-list http-list permit tcp any host server_ip eq 80
ciscoasa# class-map http
 ciscoasa# match access-list http-list
 ciscoasa# tcp-map tmap
ciscoasa# exceed-mss allow
ciscoasa# policy-map global_policy
ciscoasa# class http
ciscoasa# set connection advanced-options tmap

419002

错误消息 %ASA-4-419002: Received duplicate TCP SYN from in_interface :src_address /src_port to out_interface :dest_address /dest_port with different initial sequence number.

说明：在三次握手期间收到了重复 TCP SYN，其与打开初期连接的 SYN 的初始序列号不同。这可能 SYN 遭遇了伪造。版本 7.0.4.1 及更高版本中会出现此消息。

in_interface - 输入接口
src_address - 数据包的源 IP 地址
src_port - 数据包的源端口
Out_interface - 输出接口
dest_address - 数据包的目的 IP 地址
dest_port - 数据包的目的端口

建议的操作：无需执行任何操作。

419003

错误消息 %ASA-4-419003: Cleared TCP urgent flag from out_ifc :src_ip /src_port to in_ifc :dest_ip /dest_port.

in_ifc - 输入接口
src_ip - 数据包的源 IP 地址
src_port - 数据包的源端口
out_ifc - 输出接口
dest_ip - 数据包的目的 IP 地址
dest_port - 数据包的目的端口

建议的操作：如果您需要保留 TCP 报头中的紧急标志，请在 TCP 映射配置模式下使用 urgent-flag allow 命令。

错误消息 %ASA-7-419003: Cleared TCP urgent flag.

说明：清除 TCP 数据包的紧急标志或紧急指针时，系统会显示此系统日志。原因可能是用户配置（TCP 映射）问题，或为 TCP 数据包中的紧急指针分配了值，但并未设置紧急标志。

建议的操作：验证 TCP 映射配置是否将紧急标志设置为清除。

419004

错误消息 %ASA-6-419004: TCP connection ID from src_ifc:src_ip/src_port to dst_ifc:dst_ip/dst_port is probed by DCD

说明

死连接检测 (DCD) 探测到一个 TCP 连接，以确定连接是否仍然有效。

建议的操作：无。

419005

错误消息 %ASA-6-419005: TCP connection ID from src_ifc:src_ip/src_port duration hh:mm:ss data bytes, is kept open by DCD as valid connection

说明

死连接检测 (DCD) 保持 TCP 连接处于开放状态，作为有效连接。

建议的操作：无。

419006

错误消息 %ASA-6-419006:TCP connection ID from src_ifc:src_ip/src_port to dst_ifc:dst_ip/dst_port durationhh:mm:ss data bytes, DCD probe was not responded from client/server interface ifc_name

说明

死连接检测 (DCD) 关闭了 TCP 连接，因为不再需要它。

建议的操作：无。

420001

错误消息：%ASA-3-420001: IPS card not up and fail-close mode used, dropping ICMP packet ifc_in :SIP to ifc_out :DIP (type ICMP_TYPE , code ICMP_CODE )

例如：


%ASA-3-420001: IPS card not up and fail-close mode used, dropping TCP packet from >ifc_in
:>SIP
/>SPORT
 to >ifc_out
:>DIP
/>DPORT
%ASA-3-420001: IPS card not up and fail-close mode used, dropping UDP packet from >ifc_in
:>SIP
/>SPORT
 to >ifc_out
:>DIP
/>DPORT
%ASA-3-420001: IPS card not up and fail-close mode used, dropping protocol >protocol
 packet from >ifc_in
:>SIP
 to >ifc_out
:>DIP

说明：使用 IPS 故障关闭模式且 IPS 卡未启动时，系统将丢弃数据包。此消息有出现频率限制。

ifc_in - 输入接口名称
ifc_out - 输出接口名称
SIP - 数据包的源 IP
SPORT - 数据包的源端口
DIP - 数据包的目的 IP
DPORT - 数据包的目的端口
ICMP_TYPE - ICMP 数据包的类型
ICMP_CODE - ICMP 数据包的代码

建议的操作：启动 IPS 卡。

420002

错误消息：%ASA-4-420002: IPS requested to drop ICMP packets ifc_in :SIP to ifc_out :DIP (type ICMP_TYPE , code ICMP_CODE )

例如：


%ASA-4-420002: IPS requested to drop TCP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT
%ASA-4-420002: IPS requested to drop UDP packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT
%ASA-4-420002: IPS requested to drop protocol packet from ifc_in:SIP to ifc_out:DIP

说明： IPS 已请求丢弃数据包。

ifc_in - 输入接口名称
ifc_out - 输出接口名称
SIP - 数据包的源 IP
SPORT - 数据包的源端口
DIP - 数据包的目的 IP
DPORT - 数据包的目的端口
ICMP_TYPE - ICMP 数据包的类型
ICMP_CODE - ICMP 数据包的代码

建议的操作：无需执行任何操作。

420003

错误消息 %ASA-4-420003: IPS requested to reset TCP connection from ifc_in :SIP /SPORT to ifc_out :DIP /DPORT

说明：IPS 已请求重置 TCP 连接。

ifc_in - 输入接口名称
ifc_out - 输出接口名称
SIP - 数据包的源 IP
SPORT - 数据包的源端口
DIP - 数据包的目的 IP
DPORT - 数据包的目的端口

建议的操作：无需执行任何操作。

420004

错误消息：%ASA-6-420004: Virtual Sensor sensor_name was added on the AIP SSM

说明：在 AIP SSM 卡上添加了虚拟传感器。

n - 卡号

建议的操作：无需执行任何操作。

420005

错误消息：%ASA-6-420005: Virtual Sensor sensor_name was deleted from the AIP SSM

说明：从 AIP SSM 卡上删除了虚拟传感器。

n - 卡号

建议的操作：无需执行任何操作。

420006

错误消息 %ASA-3-420006: Virtual Sensor not present and fail-close mode used, dropping protocol packet from ifc_in:SIP/SPORT to ifc_out:DIP/DPORT

说明：使用 IPS 故障关闭模式且用于数据包的虚拟传感器不存在时，系统将丢弃数据包。

protocol - 用于发送数据包的协议
ifc_in - 输入接口名称
ifc_out - 输出接口名称
SIP - 数据包的源 IP 地址
SPORT - 数据包的源端口
DIP - 数据包的目的 IP 地址
DPORT - 数据包的目的端口

建议的操作：添加虚拟传感器。

420007

错误消息 %ASA-4-420007: application-string cannot be enabled for the module in slot slot_id . The module’s current software version does not support this feature. Please upgrade the software on the module in slot slot_id to support this feature. Received backplane header version version_number , required backplane header version version_number or higher.

说明：ASA 中任何新功能需要 SSM 或 SSC 硬件模块中的相应软件版本时，会生成此消息。每当 ASA 模块管理器检测到 SSM 或 SSC 硬件模块状态发生更改时，系统就会发送消息。

application-string - 应用名称（例如 Promiscuous IDS）
slot_id - 模块标识符，对于当前 ASA 而言为 1
version_number - ASA 与 IPS 应用之间消息报头的版本号

建议的操作：使用支持指定应用的正确软件映像加载 SSM 或 SSC 硬件模块。

420008

错误消息：%ASA-3-420008: IPS module license disabled and fail-close mode used, dropping packet.

说明：IPS 模块许可证已禁用，当配置故障关闭模式时，发送至 IPS 模块的所有流量都将被丢弃。您可以使用 show activation-key 命令来检查许可证的状态。

建议的操作：使用 activation-key 命令来应用已启用 IPS 许可证的激活密钥。

421001

错误消息：%ASA-3-421001: TCP|UDP flow from interface_name :IP_address/port to interface_name :IP_address /port is dropped because application has failed.

说明：由于 CSC SSM 应用故障，系统丢弃了数据包。默认情况下，此消息的速率限制为每 10 秒 1 条。

Interface_name - 接口名称
IP_address - IP 地址
port - 端口号
application - CSC SSM 是当前版本中支持的唯一应用

建议的操作：确定服务模块的问题。

421002

错误消息：%ASA-6-421002: TCP|UDP flow from interface_name :IP_address /port to interface_name :IP_address /port bypassed application checking because the protocol is not supported.

说明：因为服务模块无法扫描到连接使用的协议，连接绕过了服务模块安全检查。例如，CSC SSM 无法扫描 Telnet 流量。如果用户配置要扫描 Telnet 流量，则流量将绕过该扫描服务。默认情况下，此消息的速率限制为每 10 秒 1 条。

IP_address - IP 地址
port - 端口号
interface_name - 在其中应用策略的接口的名称。
application - CSC SSM 是当前版本中支持的唯一应用

建议的操作：应修改配置，确保仅包含服务模块支持的协议。

421003

错误消息：%ASA-3-421003: Invalid data plane encapsulation.

说明：服务模块注入的数据包没有正确的数据平面报头。在数据底板上交换的数据包遵循称思科专用协议（简称 ASDP）。ASDP 报头不正确的数据包都将被丢弃。

建议的操作：使用 capture name type asp-drop [ssm-asdp-invalid-encap] 命令来捕获违规数据包并联系思科 TAC。

421004

错误消息 %ASA-7-421004: Failed to inject {TCP|UDP} packet from IP_address /port to IP_address /port

说明：ASA 未能依照服务模块指示注入数据包。如果 ASA 尝试将数据包注入已释放的流中，或者当 ASA 独立于服务模块维护其连接表时，可能会发生这种情况。通常，它不会导致任何问题。

IP_address - IP 地址
port - 端口号

建议的操作：如果 ASA 性能受到影响，或者问题仍然存在，请联系思科 TAC。

421005

错误消息 %ASA-6-421005: interface_name :IP_address is counted as a user of application

说明：主机已计入许可证限制。指定主机已计为 application 用户。系统在午夜进行许可证验证时，会计算 24 小时内的用户总数。

Interface_name - 接口名称
IP_address - IP 地址
application - CSC SSM

建议的操作：无需执行任何操作。但是，如果总数超过您已购买的用户许可证，请联系思科 TAC 升级许可证。

421006

错误消息：%ASA-6-421006: There are number users of application accounted during the past 24 hours.

说明：已确定在过去 24 小时内使用应用的用户总数。此消息每 24 小时生成一次，以提供已使用服务模块所提供服务的主机总数。

application - CSC SSM

建议的操作：无需执行任何操作。但是，如果总数超过您已购买的用户许可证，请联系思科 TAC 升级许可证。

421007

错误消息 %ASA-3-421007: TCP|UDP flow from interface_name :IP_address /port to interface_name :IP_address /port is skipped because application has failed.

说明：由于服务模块应用故障，系统已跳过流。默认情况下，此消息的速率限制为每 10 秒 1 条。

IP_address - IP 地址
port - 端口号
interface_name - 在其中应用策略的接口的名称。
application - CSC SSM

建议的操作：确定服务模块的问题。

422004

错误消息 %ASA-4-422004: IP SLA Monitor number0 : Duplicate event received. Event number number1

说明：IP SLA 监控进程收到了重复事件。目前，此消息适用于销毁事件。系统将仅应用一个销毁请求。这只是一条警告消息。

number0 - SLA 操作编号
number1 - SLA 操作事件 ID

建议的操作：如果重复出现此消息，请输入 show sla monitor configuration SLA_operation_id 命令并复制命令的输出。按照控制台或系统日志中的显示复制此消息。然后联系思科 TAC 并向代表提供现有信息，以及有关配置和轮询 SLA 探测的应用的信息。

422005

错误消息 %ASA-4-422005: IP SLA Monitor Probe(s) could not be scheduled because clock is not set.

说明：由于未设置系统时钟而无法计划一个或多个 IP SLA 监控探测。

建议的操作：通过使用 NTP 或其他机制确保系统时钟正常运行。

422006

错误消息 %ASA-4-422006: IP SLA Monitor Probe number : string

说明：无法计划 IP SLA 监控探测。配置的开始时间已经开始或开始时间无效。

number - SLA 操作 ID
string - 描述此错误的字符串

建议的操作：使用有效的开始时间重新计划失败的探测。

423001

错误消息：%ASA-4-423001: {Allowed | Dropped} invalid NBNS pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

说明：NBNS 数据包格式不正确。

建议的操作：无需执行任何操作。

423002

错误消息：%ASA-4-423002: {Allowed | Dropped} mismatched NBNS pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

说明：NBNS ID 不匹配。

建议的操作：无需执行任何操作。

423003

错误消息：%ASA-4-423003: {Allowed | Dropped} invalid NBDGM pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

说明：NBDGM 数据包格式不正确。

建议的操作：无需执行任何操作。

423004

错误消息：%ASA-4-423004: {Allowed | Dropped} mismatched NBDGM pkt_type_name with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

说明：NBDGM ID 不匹配。

建议的操作：无需执行任何操作。

423005

错误消息：%ASA-4-423005: {Allowed | Dropped} NBDGM pkt_type_name fragment with error_reason_str from ifc_name :ip_address /port to ifc_name :ip_address /port .

说明：NBDGM 分段格式不正确。

建议的操作：无需执行任何操作。

424001

错误消息 %ASA-4-424001: Packet denied protocol_string intf_in :src_ip /src_port [([idfw_user | FQDN_string ], sg_info )] intf_out :dst_ip /dst_port [([idfw_user | FQDN_string ], sg_info )]. [Ingress|Egress] interface is in a backup state.

说明：数据包由于往来经过 ASA和冗余接口而被丢弃。接口功能仅限于低端平台。由 backup interface 命令指定的接口只能作为已配置主接口的备用接口。如果通往主接口的默认路由已启用，则从备用接口通往 ASA的任何流量都将被拒绝。如果通往主接口的默认路由已关闭，则从主接口通往 ASA的流量将被拒绝。

protocol_string - 协议字符串；例如，TCP 或协议 ID（十进制数）
intf_in - 输入接口名称
src_ip - 数据包的源 IP 地址
src_port - 数据包的源端口
Intf_out - 输出接口名称
dst_ip - 数据包的目的 IP 地址
dst_port - 数据包的目的端口
sg_info - 安全组名称或特定 IP 地址标记

建议的操作：确定被拒绝数据包的来源。

424002

错误消息 %ASA-4-424002: Connection to the backup interface is denied: protocol_string intf :src_ip /src_port intf :dst_ip /dst_port

说明：连接由于处于备用状态而被丢弃。接口功能仅限于低端平台。备用接口仅可用作 backup interface 命令指定的主接口的备用接口。如果通往主接口的默认路由已启用，则通过备用接口与 ASA的任何连接都将被拒绝。相反，如果通往主接口的默认路由已关闭，则通过主接口与 ASA的任何连接都将被拒绝。

protocol_string - 协议字符串；例如，TCP 或协议 ID（十进制数）
intf_in - 输入接口名称
src_ip - 数据包的源 IP 地址
src_port - 数据包的源端口
Intf_out - 输出接口名称
dst_ip - 数据包的目的 IP 地址
dst_port - 数据包的目的端口

建议的操作：确定被拒绝数据包的来源。

425001

错误消息 %ASA-6-425001 Redundant interface redundant _interface_name created.

说明：已在配置中创建指定的冗余接口。

redundant_interface_name - 冗余接口名称

建议的操作：无需执行任何操作。

425002

错误消息 %ASA-6-425002 Redundant interface redundant _interface_name removed.

说明：已从配置中删除指定的冗余接口。

redundant_interface_name - 冗余接口名称

建议的操作：无需执行任何操作。

425003

错误消息 %ASA-6-425003 Interface interface_name added into redundant interface redundant _interface_name .

说明：指定的物理接口已作为成员接口添加到指定冗余接口中。

interface_name - 接口名称
redundant_interface_name - 冗余接口名称

建议的操作：无需执行任何操作。

425004

错误消息 %ASA-6-425004 Interface interface_name removed from redundant interface redundant _interface_name .

说明：已从指定的冗余接口中移除指定冗余接口。

interface_name - 接口名称
redundant_interface_name - 冗余接口名称

建议的操作：无需执行任何操作。

425005

错误消息 %ASA-5-425005 Interface interface_name become active in redundant interface redundant _interface_name

说明：在冗余接口内，有一个成员接口处于活动状态。流量仅通过活动成员接口。指定的物理接口成为指定冗余接口的活动成员。出现以下情况时，成员接口会进行切换：

- 执行了 redundant-interface interface-name active-member interface-name 命令。
- 活动成员接口关闭，而备用成员接口已启用。
- 备用成员接口状态已从关闭切换为启用，而活动成员接口仍然关闭。
interface_name - 接口名称
redundant_interface_name - 冗余接口名称

建议的操作：检查成员接口的状态。

425006

错误消息 %ASA-3-425006 Redundant interface redundant _interface_name switch active member to interface_name failed.

说明：尝试进行成员接口切换时发生错误。

redundant_interface_name - 冗余接口名称
interface_name - 接口名称

建议的操作：如果问题仍然存在，请联系思科 TAC。

426001

错误消息 %ASA-6-426001: PORT-CHANNEL:Interface ifc_name bundled into EtherChannel interface Port-channel num

说明：系统已对不存在的端口通道使用 interface port-channel num 或 channel-group num mode mode 命令。

ifc_name - EtherChannel 接口名称
num - 端口通道编号

建议的操作：无需执行任何操作。

426002

错误消息 %ASA-6-426002: PORT-CHANNEL:Interface ifc_name unbundled from EtherChannel interface Port-channel num

说明：已使用 no interface port-channel num 命令。

ifc_name - EtherChannel 接口名称
num - 端口通道编号

建议的操作：无需执行任何操作。

426003

错误消息 %ASA-6-426003: PORT-CHANNEL:Interface ifc_name1 has become standby in EtherChannel interface Port-channel num

说明：已使用 channel-group num mode mode 命令。

Ifc_name1 - EtherChannel 接口名称
num - 端口通道编号

建议的操作：无需执行任何操作。

426004

错误消息 %ASA-4-426004: PORT-CHANNEL: Interface ifc_name1 is not compatible with ifc_name and will be suspended (speed of ifc_name1 is X Mbps, Y is 1000 Mbps).

错误消息 %ASA-4-426004: Interface ifc_name1 is not compatible with ifc_name1 and will be suspended (ifc_name1 is Full-duplex, ifc_name1 is Half-duplex)

说明：已在物理接口中执行 channel-group num mode mode 命令，此物理接口与端口通道之间存在速度或双工不匹配。

ifc_name - 即将添加到端口通道的接口
Ifc_name1 - 已位于端口通道且处于捆绑状态的接口

建议的操作：请执行以下操作之一：

将物理接口的速度改为端口通道速度，然后再次执行 channel-group num mode mode 命令。
让成员接口保持挂起状态。删除最后一个活动成员时，该成员将尝试在挂起的成员中重建 LACP。

426101

错误消息 %ASA-6-426101: PORT-CHANNEL:Interface ifc_name is allowed to bundle into EtherChannel interface port-channel id by CLACP

说明：已在 span-cluster 通道组中捆绑端口。

建议的操作：无需执行任何操作。

426102

错误消息 %ASA-6-426102: PORT-CHANNEL:Interface ifc_name is moved to standby in EtherChannel interface port-channel id by CLACP

说明：span-cluster 通道组中的端口已改为热备份状态。

建议的操作：无需执行任何操作。

426103

错误消息 %ASA-6-426103: PORT-CHANNEL:Interface ifc_name is selected to move from standby to bundle in EtherChannel interface port-channel id by CLACP

说明：已在 span-cluster 通道组中选定一个备用端口以将其改为捆绑状态。

建议的操作：无需执行任何操作。

426104

错误消息 %ASA-6-426104: PORT-CHANNEL:Interface ifc_name is unselected in EtherChannel interface port-channel id by CLACP

说明：已将 span-cluster 通道组中的捆绑端口解绑，从而为其他需要捆绑的端口留出空间。

建议的操作：无需执行任何操作。

428002

错误消息 %ASA-6-428002: WAAS confirmed from in_interface :src_ip_addr/src_port to out_interface :dest_ip_addr/dest_port , inspection services bypassed on this connection.

说明：在连接中检测到 WAAS 优化。系统将在 WAAS 优化连接中绕过所有第 7 层检测服务（包括 IPS）。

建议的操作：如果网络中包含 WAE 设备，则无需执行任何操作；否则，网络管理员应调查此连接中 WAAS 选项的使用情况。

429001

错误消息 %ASA-3-429001: CXSC card not up and fail-close mode used. Dropping protocol packet from interface_name :ip_address /port to interface_name :ip_address /port

说明：因为 SSP 已关闭且存在故障关闭策略，数据已被丢弃。

建议的操作：检查服务模块的状态，如有必要，联系思科 TAC 寻求帮助。

429002

错误消息 %ASA-4-429002: CXSC service card requested to drop protocol packet from interface_name :ip_address /port to interface_name :ip_address /port

说明：CXSC SSP 已请求 ASA 丢弃连接数据包。

建议的操作：无。

429003

错误消息：%ASA-4-429003: CXSC service card requested to reset TCP connection from interface_name :ip_addr /port to interface_name :ip_addr /port

说明：CXSC SSP 已请求 ASA 重置 TCP 连接。

建议的操作：无需执行任何操作。

429004

错误消息：%ASA-3-429004: Unable to set up authentication-proxy rule for the cx action on interface interface_name for policy_type service-policy.

说明：由于某种内部错误（例如内存不足），ASA 无法为 CXSC 操作设置身份验证代理传入规则。

建议的操作：此错误不应发生。请联系思科 TAC 寻求帮助。

429005

错误消息：%ASA-6-429005: Set up authentication-proxy protocol_type rule for the CXSC action on interface interface_name for traffic destined to ip_address /port for policy_type service-policy.

说明：ASA 已为 CXSC 操作成功设置身份验证代理传入规则。

建议的操作：无。

429006

错误消息：%ASA-6-429006: Cleaned up authentication-proxy rule for the CXSC action on interface interface_name for traffic destined to ip_address for policy_type service-policy.

说明：ASA 已为 CXSC 操作成功清理身份验证代理传入规则。

建议的操作：无。

429007

错误消息：%ASA-4-429007: CXSC redirect will override Scansafe redirect for flow from interface_name :ip_address /port to interface_name :ip_address /port with username

说明：流与 CXSC 和 Scansafe 重定向都相匹配。此消息指示 CXSC 重定向会覆盖所显示流的 Scansafe 重定向。

建议的操作：如果不需要此行为，则重新配置策略，确保相同流不会发生 CXSC 和 Scansafe 重定向重叠。

429008

错误消息 %ASA-4-429008: Unable to respond to VPN query from CX for session 0x%x . Reason %s

说明：CX 向 ASA 发送了 VPN 会话查询，但由于会话 ID 无效或其他原因导致无响应。可能的原因如下：

TLV length is invalid（TLV 长度无效）
TLV memory allocation failed（TLV 内存分配失败）
VPN session query message enqueue failed（VPN 会话查询消息入队失败）
VPN session ID is invalid（VPN 会话 ID 无效）

建议的操作：无需执行任何操作。

4302310

错误消息 %ASA-5-4302310: SCTP packet received from src_ifc:src_ip/src_port to dst_ifc:dst_ip/dst_port contains unsupported Hostname Parameter.

说明：收到 init/init-ack 数据包以及主机名参数。

packet init/init-ack - 传输主机名参数的消息
src-ifc - 表示入口接口
src-ip/src-port - 表示数据包中的源 IP 和端口
dst-ifc - 表示出口接口
dst_ip/dst_port - 表示数据包中的目的 IP 和端口

建议的操作：使用终端的真实 IP 地址而不是主机名。禁用主机名参数。

431001

错误消息：%ASA-4-431001: RTP conformance: Dropping RTP packet from in_ifc :src_ip /src_port to out_ifc :dest_ip /dest_port , Drop reason: drop_reason value

说明：RTP 数据包已被丢弃。

in_ifc - 输入接口
src_ip - 数据包的源 IP 地址
src_port - 数据包的源端口
out_ifc - 输出接口
dest_ip - 数据包的目的 IP 地址
dest_port - 数据包的目的端口
drop_reason - 以下任一丢弃原因：

- 不正确的版本值 - 数据包中的版本号不正确。

- 无效的负载类型值 - 数据包中的负载类型无效。

- 不正确的 SSRC 值 - 数据包中的 SSRC 不正确。

- 超出范围的序列号值 - 数据包中的序列号超出范围。

- 试用数据包的错误序列号值 - 数据包中的序列号不正确。

建议的操作：检查丢弃的 RTP 数据包，以确定 RTP 源设置错误的字段。此外，还应检查源，以验证其属于合法，而不是有攻击者在试图滥用 ASA 中的漏洞。

431002

错误消息 %ASA-4-431002: RTCP conformance: Dropping RTCP packet from in_ifc :src_ip /src_port to out_ifc :dest_ip /dest_port , Drop reason: drop_reason value

说明：RTCP 数据包已被丢弃。

in_ifc - 输入接口
src_ip - 数据包的源 IP 地址
src_port - 数据包的源端口
out_ifc - 输出接口
dest_ip - 数据包的目的 IP 地址
dest_port - 数据包的目的端口
drop_reason - 以下任一丢弃原因：

- 不正确的版本值 - 数据包中的版本号不正确。

- 无效的负载类型值 - 数据包中的负载类型不正确。

434001

错误消息 %ASA-4-434001: SFR card not up and fail-close mode used, dropping protocol packet from ingress interface:source IP address /source port to egress interface :destination IP address /destination port

说明：模块的故障关闭配置导致数据包被丢弃。将流重定向至模块会导致所有流失去连接，这是由于根据故障关闭配置，如果模块关闭，系统会丢弃所有流。

建议的操作：尝试了解故障原因并恢复服务。或者，如果卡未立即恢复，您也可以使用故障开放选项。请注意，根据故障开放配置，如果卡处于关闭状态，系统将会绕过通往该模块的所有数据包。

434002

错误消息 %ASA-4-434002: SFR requested to drop protocol packet from ingress interface :source IP address /source port to egress interface :destination IP address /destination port

说明：数据包已被模块拒绝。由于特定流已重定向至模块，因此针对此特定流量的连接不成功。

建议的操作：尝试确定致使此流或数据包被拒绝的模块策略。

434003

错误消息：%ASA-4-434003: SFR requested to reset TCP connection from ingress interface :source IP address /source port to egress interface :destination IP address /destination port

说明：按照模块请求，ASA 已重置 TCP 流。由于特定流已重定向至模块，因此针对此特定流的 TCP 连接不成功。

建议的操作：尝试确定致使此流或数据包被拒绝的模块策略。

434004

错误消息 %ASA-5-434004: SFR requested ASA to bypass further packet redirection and process flow from %s:%A/%d to %s:%A/%d locally

说明：SourceFire (SFR) 已决定不检查流的更多流量，并请求 ASA停止将流量流重定向至 SFR。

建议的操作：无需执行任何操作。

434007

错误消息：%ASA-4-434007: SFR redirect will override Scansafe redirect for flow from ingress interface :source IP address /source port to egress interface :destination IP address /destination port (user )

说明：先前由 Scansafe 检测的流现在仅由 SourceFire (SFR) 检测。Scansafe 和 SFR 无法同时检测流。

建议的操作：重新配置致使 Scansafe 或 SFR 检测此流或数据包的 ASA 检测策略。

444004

错误消息 %ASA-2-444004: Temporary license key key has expired. Applying permanent license key permkey

说明：安装的临时许可证已过期。此许可证提供的功能将不再可用。

key - 临时激活密钥
permkey - 永久激活密钥

建议的操作：应购买并安装永久许可证。

444005

错误消息：%ASA-4-444005: Timebased activation key activation -key will expire in num days

说明：此消息每 24 小时生成一次，指示临时许可证将在指定天数内过期。在此日期之后，此许可证提供的功能将不再可用。

activation-key - 临时激活密钥
num - 过期前剩余天数

建议的操作：如果剩余时间量少于 30 天，您应在临时许可证过期之前购买其他基于时间的激活密钥。

444007

错误消息 %ASA-2-444007: Timebased activation key activation -key has expired. Reverting to [permanent | timebased] license key. The following features will be affected: feature , feature

说明：基于时间的激活密钥已过期。此许可证提供的特定功能不再可用。

activation-key - 临时激活密钥
feature - 受影响的许可证功能的名称

建议的操作：您必须尽快购买其他基于时间的激活密钥，以防止特定功能的服务中断。

444008

错误消息 %ASA-4-444008: %s license has expired, and the system is scheduled to reload in x days. Apply a new activation key to enable %s license and prevent the automatic reload.

说明：特定许可证已过期，这将导致系统在 x 天内重新加载。应用新的激活密钥，以启用特定许可证并防止系统自动重新加载。

建议的操作：应用新的激活密钥，以启用特定许可证并防止系统自动重新加载。

444009

错误消息 %ASA-2-444009: %s license has expired 30 days ago. The system will now reload.

说明：特定许可证 30 天前便已过期。系统将立即重新加载。

建议的操作：无需执行任何操作。

444100

错误消息 %ASA-5-444100: Shared request request failed. Reason: reason

说明：服务器未成功发送或处理共享许可证客户端请求。

request - 有效请求如下：

- 获取 AnyConnect Premium

- 发布 AnyConnect Premium

- 传输 AnyConnect Premium

reason - 请求失败的原因。有效的原因如下：

- connection failed to server（未能连接到服务器）

- version not supported by server（版本不受服务器支持）

- message signature invalid（消息签名无效）

- client ID unknown by server（服务器不知道客户端 ID）

- server is not active（服务器处于不活动状态）

- license capacity reached（已达到许可证容量限制）

建议的操作：无需执行任何操作。

444101

错误消息 %ASA-5-444101: Shared license service is active. License server address: address

说明：共享许可证服务器已变成活动状态。

address - 许可证服务器 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作。

444102

错误消息 %ASA-2-444102: Shared license service inactive. License server is not responding.

说明：因为许可证服务器没有响应，共享许可证服务处于非活动状态。ASA 向共享许可证服务器注册失败。

建议的操作：验证许可证服务器地址、密钥和端口是否配置正确。

444103

错误消息：%ASA-6-444103: Shared licensetype license usage is over 90% capacity.

说明：网络上的共享许可证使用情况已超出 90% 容量。

licensetype - AnyConnect Premium

建议的操作：无需执行任何操作。

444104

错误消息：%ASA-6-444104: Shared licensetype license availability: value .

说明：此消息显示网络上共享许可证的可用性。

licensetype - AnyConnect Premium
value - 许可证可用性

建议的操作：无需执行任何操作。

444105

错误消息 %ASA-2-444105: Released value shared licensetype license(s). License server has been unreachable for 24 hours.

说明：共享许可证服务器已持续 24 小时无法访问，并且 ASA 已获取的所有共享许可证均已发布。ASA 向许可证服务器注册失败。

licensetype - AnyConnect Premium
value - 许可证可用性

建议的操作：验证许可证服务器的连接，同时验证许可证服务器上的配置未更改。

444106

错误消息：%ASA-4-444106: Shared license backup server address is not available.

说明：共享许可证备用服务器不可访问。许可证服务器信息与备用设备不同步。

address - 备用许可证服务器的 IPv4 或 IPv6 地址

建议的操作：无需执行任何操作。

444107

错误消息：%ASA-6-444107: Shared license service status on interface ifname .

说明：共享许可证服务已在指定接口上启用或禁用。

ifname - 接口名称。
status - 许可证服务器的状态。有效值已启用或禁用。

建议的操作：无需执行任何操作。

444108

错误消息：%ASA-6-444108: Shared license state client id id .

说明：多站点许可证客户端 ID 已向服务器注册或已过期。

id - 客户端的 ID
state - 许可证服务器的状态。有效值已注册或过期。

建议的操作：无需执行任何操作。

444109

错误消息 %ASA-4-444109: Shared license backup server role changed to state .

说明：共享备用许可证服务器角色已更改。

state - 许可证服务器的状态。有效值处于活动或非活动状态。

建议的操作：无需执行任何操作。

444110

错误消息 %ASA-4-444110: Shared license server backup has days remaining as active license server.

说明：共享备用许可证服务器处于活动角色状态，并且还剩指定天数可以保持活动状态。ASA 向许可证服务器注册失败，需要立即向主许可证服务器注册。

days - 许可证服务器保持活动状态的剩余天数

建议的操作：验证许可证服务器处于在线状态并且可由 ASA 访问。

444111

错误消息 %ASA-2-444111: Shared license backup service has been terminated due to the primary license server address being unavailable for more than days days. The license server needs to be brought back online to continue using shared licensing.

说明：共享备用许可证服务器活动时间已过期。主服务器需要联机以确保继续提供共享许可证服务。

address - 许可证服务器的 IPv4 或 IPv6 地址
days - 许可证服务器已不可用的天数

建议的操作：向主许可证服务器注册，以确保继续使用共享许可证服务。

444302

错误消息：%ASA-2-444302: %SMART_LIC-2-PLATFORM_ERROR: Platform error.

说明：智能许可代理遇到了平台问题。这表示，平台团队未在设备上正确实施智能许可。

建议的操作：平台团队需要在发布之前解决此问题。

444303

错误消息：%ASA-3-444303: %SMART_LIC-3-AGENT_REG_FAILED: Smart Agent for licensing registration with Cisco licensing cloud failed.

说明：智能许可注册失败。这可能是由于在注册期间使用了无效的 ID 令牌或 cisco.com 网络连接失败。

建议的操作：有关更多信息，请检查智能代理系统日志消息。有关更多详细信息，请启用智能代理调试模式（CLI 命令：“debug license agent all”），然后重试。检查您的 Smart Call Home 配置、与思科的网络连接以及注册所用的身份令牌是否有效。

错误消息：%ASA-3-444303: %SMART_LIC-3-AGENT_DEREG_FAILED: Smart Agent for licensing deregistration with CSSM failed.

说明：智能许可注销失败。这可能是由 CSSM 网络连接失败引起的。本地注册信息已从设备上删除。

建议的操作：有关更多信息，请检查智能代理系统日志消息。有关更多详细信息，请启用智能代理调试模式（CLI 命令：“debug license agent all”），然后重试。检查您的 Smart Call Home 配置以及与 CSSM 的网络连接。

错误消息：%ASA-3-444303: %SMART_LIC-3-OUT_OF_COMPLIANCE: One or more entitlements are out of compliance.

说明：客户的一个或多个请求授权不合规。

建议的操作：客户需要转至智能许可门户查看其授权，以了解不合规情况。

错误消息：%ASA-3-444303: %SMART_LIC-3-EVAL_EXPIRED: Evaluation period expired.

说明：评估期已到期。请从智能代理门户获取新的身份令牌并重新注册该设备。

建议的操作：客户需要从智能代理门户获取新的身份令牌，并向思科许可服务重新注册该设备。

错误消息：%ASA-3-444303: %SMART_LIC-3-BAD_MODE: An unknown mode was specified.

说明：智能代理在记录系统日志消息的过程中收到了无效的授权实施模式。

建议的操作：这是 Smart Call Home 内部错误。请向思科报告此错误。

错误消息：%ASA-3-444303: %SMART_LIC-3-BAD_NOTIF: A bad notification type was specified.

说明：智能代理在记录系统日志消息的过程中收到了无效的通知类型。

建议的操作：这是 Smart Call Home 内部错误。请向思科报告此错误。

错误消息 %ASA-3-444303: %SMART_LIC-3-ID_CERT_EXPIRED: Identity certificate expired. Agent will transition to the unidentified (not registered) state.

说明：设备长时间未与思科通信，并且该设备未自动向思科续订设备注册。

建议的操作：请检查 Smart Call Home 设置以及与 cisco.com 的网络连接。

错误消息：%ASA-3-444303: %SMART_LIC-3-ID_CERT_RENEW_NOT_STARTED: Identity certificate start date not reached yet.

说明：设备注册失败。身份证书的开始日期晚于设备的当前时间。

建议的操作：请调整设备时钟，使其保持最新状态，然后再次重试注册。

错误消息：%ASA-3-444303: %SMART_LIC-3-ID_CERT_RENEW_FAILED: Identity certificate renewal failed.

说明：设备长时间未与思科通信，并且该设备自动向思科续订设备注册失败。

建议的操作：请检查 Smart Call Home 设置以及与 cisco.com 的网络连接。

错误消息：%ASA-3-444303: %SMART_LIC-3-ENTITLEMENT_RENEW_FAILED: Entitlement authorization with Cisco licensing cloud failed.

说明：设备未能与思科通信以续订权限授权。

建议的操作：有关详细信息，请检查智能代理系统日志消息。此外，请检查 Smart Call Home 设置以及与 cisco.com 的网络连接。

错误消息：%ASA-3-444303: %SMART_LIC-3-COMM_FAILED: Communications failure with Cisco licensing cloud.

说明：设备与思科许可服务通信失败。

建议的操作：请检查 Smart Call Home 设置以及与 cisco.com 的网络连接。

错误消息：%ASA-3-444303: %SMART_LIC-3-CERTIFICATE_VALIDATION: Certificate validation failed by smart agent.

说明：身份证书验证失败。

建议的操作：有关详细信息，请检查智能代理系统日志文件。有关更多信息，请启用智能代理调试模式（CLI 命令：license smart debug enable)，然后再次重试。此外，请检查是否已达到身份证书的到期日期。

错误消息：%ASA-3-444303: %SMART_LIC-3-AUTH_RENEW_FAILED: Authorization renewal with Cisco licensing cloud failed.

说明：授权续订请求失败。这可能是由 Smart Call Home 设置错误或与 cisco.com 的网络连接故障引起的。

建议的操作：有关详细信息，请检查智能代理系统日志文件。有关更多信息，请启用智能代理调试模式，然后再次重试。此外，请检查 Smart Call Home 设置以及与 cisco.com 的网络连接。

错误消息：%ASA-3-444303: %SMART_LIC-3-INVALID_TAG: The entitlement tag is invalid.

说明：思科智能软件管理器中未定义标记。

建议的操作：向思科报告此错误。

错误消息：%ASA-3-444303: %SMART_LIC-3-INVALID_ROLE_STATE: The current role is not allowed to move to the new role.

说明：从最后一个角色事件开始，我们仅可移至特定角色。设备已移至智能代理无法跟踪的角色。

建议的操作：有关详细信息，请检查智能代理系统日志文件。有关更多信息，请启用智能代理调试模式，然后再次重试。

错误消息：%ASA-3-444303: %SMART_LIC-3-EVAL_WILL_EXPIRE_WARNING: Evaluation period will expire in time.

说明：设备正在使用将在特定时间内过期的评估期。

建议的操作：在评估期过期之前使用“许可证智能注册 ID 令牌”CLI 注册该设备。

错误消息：%ASA-3-444303: %SMART_LIC-3-EVAL_EXPIRED_WARNING: Evaluation period expired on time.

说明：设备评估期已到期。

建议的操作：使用“许可证智能注册 ID 令牌”CLI 注册该设备。

错误消息：%ASA-3-444303: %SMART_LIC-3-ID_CERT_EXPIRED_WARNING: This device's registration will expire in time.

说明：该设备注册将在指定时间内过期。这通常指示与思科许可授权机构通信失败。

建议的操作：请检查 Smart Call Home 设置以及与 cisco.com 的网络连接。此外，请检查身份证书是否需要续签。

错误消息：%ASA-3-444303: %SMART_LIC-3-CONFIG_OUT_OF_SYNC: Trusted Store Enable flag not in sync with System Configuration, TS flag Config flag.

说明：智能许可配置与永久存储中启用标志的值不匹配。如果某个配置复制到系统并发生重新加载，则可能发生这种情况。如果新配置不包含 Smart Licensing Enable 命令，则永久存储中的值将不会匹配。

建议的操作：应用所需的 Smart Licensing Configuration 命令，并保存配置。

错误消息 %ASA-3-444303: %SMART_LIC-3-REG_EXPIRED_CLOCK_CHANGE: Smart Licensing registration has expired because the system time was changed outside the validity period of the registration period. The agent will transition to the un-registered state in 60 minutes.

说明：系统时钟已更改，因此它现在不在有效注册期限内。如果时钟在一小时内重置为注册有效期内的值，则智能许可将继续正常运行。如果时钟未重置，则设备将被取消注册，并且需要获取新的身份令牌才能重新注册该设备。注册有效期根据身份证书中的开始日期和结束日期定义。使用“show tech license”获取身份证书信息。

错误消息：%ASA-3-444303: %SMART_LIC-3-ROOT_CERT_MISMATCH_PROD: Certificate type mismatch.

说明：智能代理收到的用于验证的证书不正确。请联系您的产品支持团队。

错误消息：%ASA-3-444303: %SMART_LIC-3-HOT_STANDBY_OUT_OF_SYNC: Smart Licensing agent on hot standby is out of sync with active Smart Licensing agent.

说明：热备份上的智能许可代理未能处理与活动代理保持同步所需的数据。由于当前活动代理配置与永久存储中启用标志的值不匹配，因此如果发生切换，则新活动代理所处状态将有所不同。如果某个配置复制到系统并发生重新加载，则可能发生这种情况。如果新配置不包含 Smart Licensing Enable 命令，则永久存储中的值将不会匹配。

444304

错误消息：%ASA-4-444304: %SMART_LIC-4-IN_OVERAGE: One or more entitlements are in overage.

说明：此消息仅供参考。客户仍然合规，并在其合同中指定的超时时间段内。

错误消息：%ASA-4-444304: %SMART_LIC-4-CONFIG_NOT_SAVED: Smart Licensing configuration has not been saved.

此消息仅供参考。客户保持在 IN/OUT_OF 合规状态。

建议的操作：无。

444305

错误消息：%ASA-5-444305: %SMART_LIC-5-SYSTEM_CLOCK_CHANGED: Smart Agent for Licensing System clock has been changed.

说明：系统时钟已被手动重置。

错误消息：%ASA-5-444305: %SMART_LIC-5-IN_COMPLIANCE: All entitlements are authorized.

说明：所有客户请求权限均经思科许可服务授权。

错误消息：%ASA-5-444305: %SMART_LIC-5-EVAL_START: Entering evaluation period.

说明：注册之前的客户分配权限或客户注册已过期。该设备现在已取消注册，处于评估模式。

错误消息：%ASA-5-444305: %SMART_LIC-5-AUTHORIZATION_EXPIRED: Authorization expired.

说明：设备长时间未与思科通信，并且未自动续订权限授权。

错误消息：%ASA-5-444305: %SMART_LIC-5-COMM_RESTORED: Communications with Cisco licensing cloud restored.

说明：智能代理与思科许可服务已恢复通信。

错误消息：%ASA-5-444305: %SMART_LIC-5-COMM_INIT_FAILED: Failed to initialize communications with the Cisco Licensing Cloud.

说明：智能代理无法初始化与思科许可服务的通信。

建议的操作：无。

444306

错误消息：%ASA-6-444306: %SMART_LIC-6-AGENT_READY: Smart Agent for Licensing is initialized.

说明：智能代理已初始化并且可供使用。

错误消息：%ASA-6-444306: %SMART_LIC-6-AGENT_ENABLED: Smart Agent for Licensing is enabled.

说明：智能代理已启用并且可供使用。

错误消息：%ASA-6-444306: %SMART_LIC-6-AGENT_REG_SUCCESS: Smart Agent for Licensing Registration with Cisco licensing cloud successful.

说明：智能许可注册成功。

错误消息：%ASA-6-444306: %SMART_LIC-6-AGENT_DEREG_SUCCESS: Smart Agent for Licensing De-registration with Cisco licensing cloud successful.

说明：智能许可取消注册成功。

错误消息：%ASA-6-444306: %SMART_LIC-6-DISABLED: Smart Agent for Licensing disabled.

说明：智能代理已禁用。

错误消息：%ASA-6-444306: %SMART_LIC-6-ID_CERT_RENEW_SUCCESS: Identity certificate renewal successful.

说明：客户身份证书续订成功，并可继续使用该设备。

错误消息：%ASA-6-444306: %SMART_LIC-6-ENTITLEMENT_RENEW_SUCCESS: Entitlement authorization renewal with Cisco licensing cloud successful.

说明：授权续订请求成功。

错误消息：%ASA-6-444306: %SMART_LIC-6-AUTH_RENEW_SUCCESS: Authorization renewal with Cisco licensing cloud successful.

说明：客户请求权限授权续订成功。

错误消息：%ASA-6-444306: %SMART_LIC-6-HA_ROLE_CHANGED: Smart Agent HA role changed to role.

说明：HA RP 上的智能代理角色已更改为主用或备用角色。

错误消息：%ASA-6-444306: %SMART_LIC-6-HA_CHASSIS_ROLE_CHANGED: Smart Agent HA chassis role changed to role.

说明：HA 上的智能代理机箱角色已更改为主用或备用角色。

错误消息：%ASA-6-444306: %SMART_LIC-6-AGENT_ALREADY_REGISTER: Smart Agent is already registered with the Cisco licensing cloud.

说明：智能许可已向思科注册。使用强制选项重新注册。

错误消息：%ASA-6-444306: %SMART_LIC-6-AGENT_ALREADY_DEREGISTER: Smart Agent is already Deregistered with the CSSM.

说明：智能许可已向思科取消注册，并使用强制选项重新注册。

错误消息：%ASA-6-444306: %SMART_LIC-6-EXPORT_CONTROLLED: Usage of export controlled features is status.

说明：有关允许或不允许使用出口管制的功能的通知。向思科许可云注册后会生成此消息。

建议的操作：无。

444307

错误消息：%ASA-7-444307: %SMART_LIC-7-DAILY_JOB_TIMER_RESET: Daily job timer reset.

说明：此消息仅用于测试目的，不表示错误。

建议的操作：无。

446001

错误消息：%ASA-4-446001: Maximum TLS Proxy session limit of max_sess reached.

说明：已达到为 TLS 代理配置的最大会话限制。超出此限制的新会话被拒绝。

max_sess - 当前有效的最大会话限制

建议的操作：如果需要更多的 TLS 会话，请使用 tls-proxy maximum-sessions max_sess 命令增加限制。或者，您还可以使用 tls-proxy proxy_name 和 tls-proxy maximum-sessions max_sess 命令，然后重新启动以使命令生效。

446003

错误消息 %ASA-4-446003: Denied TLS Proxy session from src_int :src_ip /src_port to dst_int :dst_ip /dst_port , UC-IME license is disabled.

说明：UC IME 许可证处于打开或关闭状态。UC IME 在启用后可以根据 ASA限制和 K8 导出限制使用任意数量的可用 TLS 会话。

src_int - 源接口名称（内部或外部）
src_ip - 源 IP 地址
src_port - 源端口
dst_int - 目的接口名称（内部或外部）
dst_ip - 目的 IP 地址
dst_port - 目的端口

建议的操作：检查是否已禁用 UC-IME。如果已禁用，请将其激活。

447001

错误消息 %ASA-4-447001: ASP DP to CP queue_name was full. Queue length length , limit limit

说明：此消息表示特定数据路径 (DP) 到控制点 (CP) 的事件队列已满，且已有一个或多个入队操作失败。如果事件包含数据包块（例如用于 CP 应用检测），DP 将会丢弃数据包，而且 show asp drop 命令中的计数器将递增。如果事件为转出到 CP，则典型计数器为转出无内存 ASP-drop 计数器。

queue - DP-CP 事件队列的名称。
length - 队列中当前事件数量。
limit - 队列中允许的最大事件数量。

建议的操作：队列已满的状况说明 CP 上的负载超过 CP 处理能力，这可能是（也可能不时）临时状况。如果此消息反复出现，应考虑减少 CP 上的功能负载。使用 show asp event dp-cp 命令识别事件队列中负载最高的功能。

448001

错误消息 %ASA-4-448001: Denied SRTP crypto session setup on flow from src_int :src_ip /src_port to dst_int :dst_ip /dst_port , licensed K8 SRTP crypto session of limit exceeded

说明：系统对 K8 平台实施 250 个 SRTP 加密会话的限制。每一对 SRTP 加密或解密会话计为一个 SRTP 加密会话。仅当介质需要加密或解密时，调用才会计入此限制，这就表示，如果对调用设置了透传，则即使双方都使用 SRTP，调用也不会计入此限制。

src_int - 源接口名称（内部或外部）
src_ip - 源 IP 地址
src_port - 源端口
dst_int - 目的接口名称（内部或外部）
dst_ip - 目的 IP 地址
dst_port - 目的端口
limit - SRTP 加密会话 (250) 的 K8 限制

建议的操作：无需执行任何操作。只有当现有 SRTP 加密会话释放后，才能设置新的 SRTP 加密会话。

450001

错误消息：ASA-4-450001: Deny traffic for protocol protocol_id src interface_name :IP_address /port dst interface_name :IP_address /port , licensed host limit of num exceeded.

说明：已超出过许可的主机限制。此消息仅适用于 ASA 5505 ASA。

protocol_id - 协议 ID 编号
interface_name - 与数据包发件人或收件人关联的接口
IP_address - 数据包发件人/收件人的 IP 地址
port - 所传输数据包的端口号
num - 主机最大限值

建议的操作：无需执行任何操作。

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 系统日志消息 400000-450001

系统日志消息 400000-450001

ID 介于 400000 到 409128 之间的消息

4000nn

401001

401002

401003

401004

401005

402114

402115

402116

402117

402118

402119

402120

402121

402122

402123

402124

402125

402126

402127

402128

402129

402130

402131

402140

402141

402142

402143

402144

402145

402146

402147

402148

402149

402150

403101

403102

403103

403104

403106

403107

403108

403109

403110

403500

403501

403502

403503

403504

403505

403506

403507

405001

405002

405003

405101

405102

405103

405104

405105

405106

405107

405201

405300

405301

406001

406002

407001

407002

407003

408001

408002

408003